ネットワーキング

VPC Network Access Analyzer

Herramienta de análisis de seguridad que analiza automáticamente las rutas de acceso de red en toda la VPC y detecta exposiciones no intencionadas a Internet o permisos de acceso excesivos

Unos 5 min de lectura

Descripción general

VPC Network Access Analyzer es un servicio que analiza exhaustivamente las rutas de acceso de red dentro de una VPC y detecta automáticamente las rutas de acceso que violan las políticas de seguridad. Mientras que Reachability Analyzer verifica la conectividad entre dos puntos específicos, Network Access Analyzer analiza de forma integral toda la VPC para determinar qué recursos son accesibles desde dónde. Se definen alcances de acceso de red y se configuran condiciones de detección para patrones de acceso no permitidos (por ejemplo, acceso directo desde Internet a bases de datos). Los resultados muestran las rutas de acceso concretas y los componentes de red que las permiten, siendo útiles para auditorías de seguridad y verificaciones de cumplimiento.

Diseño de alcances de acceso de red

El análisis de Network Access Analyzer comienza con la definición de un alcance de acceso de red (Network Access Scope). El alcance se compone de condiciones de coincidencia (Match Paths) y condiciones de exclusión (Exclude Paths), describiendo de forma declarativa los patrones de acceso que se desean detectar. En las condiciones de coincidencia se especifican los tipos de recursos de origen (Source) y destino (Destination), bloques CIDR y listas de prefijos. Por ejemplo, al especificar el origen como Internet Gateway y el destino como ENIs dentro de una subred específica, se detectan todas las rutas alcanzables desde Internet hacia esa subred. Las condiciones de exclusión eliminan rutas de acceso permitidas intencionalmente (por ejemplo, acceso a Internet a través de ALB), reduciendo los falsos positivos. También se pueden utilizar alcances preconfigurados proporcionados por AWS, como acceso entrante desde Internet, acceso saliente hacia Internet y acceso entre VPCs. Los alcances personalizados se definen en formato JSON, lo que permite incluirlos en control de versiones y revisiones de código.

Análisis de resultados y acciones de remediación

Al ejecutar el análisis, las rutas de acceso que coinciden con el alcance se muestran como hallazgos (Findings). Cada hallazgo muestra en detalle el recurso de origen, el recurso de destino y los componentes de red en la ruta (grupos de seguridad, ACLs de red, tablas de rutas, NAT Gateway, etc.). Por ejemplo, se visualizan todos los saltos que permiten el acceso: Internet Gateway → Tabla de rutas A → Subred B → Grupo de seguridad C → Instancia EC2 D. Las acciones de remediación incluyen eliminar reglas de entrada en grupos de seguridad, agregar reglas de denegación en ACLs de red o eliminar rutas de tablas de enrutamiento. Cuando hay un gran volumen de hallazgos, se priorizan los de mayor importancia (acceso directo a bases de datos, exposición de puertos de administración). Los hallazgos pueden exportarse en CSV para integrarlos en flujos de trabajo de revisión del equipo de seguridad. Ejecutar el análisis periódicamente y monitorear si aparecen nuevos hallazgos previene la degradación de seguridad por deriva de configuración.

Aplicación en auditorías de seguridad y cumplimiento

Network Access Analyzer es ideal para automatizar auditorías de seguridad periódicas y verificaciones de cumplimiento. PCI DSS requiere restringir estrictamente el acceso al entorno de datos de titulares de tarjetas (CDE), y verificar periódicamente las rutas de acceso a las subredes CDE con Network Access Analyzer permite demostrar el cumplimiento continuo de los requisitos. En auditorías SOC 2, también puede utilizarse como evidencia objetiva de la efectividad de la segmentación de red. La integración con Organizations permite analizar las VPCs de todas las cuentas de la organización desde una cuenta de administrador delegado, evaluando de forma centralizada la postura de seguridad de red en entornos multicuenta. La ejecución de análisis vía API permite automatizar la generación de informes de seguridad mensuales y rastrear el aumento o disminución de hallazgos respecto al mes anterior. En cuanto a costos, se cobra por el número de ENIs procesados por ejecución de análisis, por lo que en VPCs grandes se recomienda limitar el alcance del análisis para gestionar los costos. La distinción con Reachability Analyzer es clara: Reachability Analyzer para resolución de problemas diarios y Network Access Analyzer para auditorías de seguridad periódicas.

共有するXB!

Términos relacionados

Amazon VPCAWS Network FirewallAWS Security HubAmazon Inspector

Servicios relacionados

Amazon VPCAWS Security HubAWS ConfigAWS Organizations

Artículos relacionados

Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.

Términos y artículos similares

VPC Reachability AnalyzerHerramienta de resolución de problemas que analiza estáticamente la conectividad de red entre dos recursos dentro de una VPC, identificando la causa de fallos de conectividadIAM Access AnalyzerUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAmazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursosAWS Network ManagerServicio que visualiza, monitorea y gestiona de forma centralizada la topología de red global incluyendo VPC, Transit Gateway, VPN y Direct Connect