# SEC05-BP01 Crear capas de red
<a name="sec_network_protection_create_layers"></a>

 Agrupe los componentes que comparten requisitos de accesibilidad en capas. Por ejemplo, un clúster de base de datos en una nube virtual privada (VPC) sin necesidad de acceso a Internet debe colocarse en subredes sin enrutamiento hacia Internet o desde Internet. En una carga de trabajo sin servidor que funcione sin una VPC, una estratificación y segmentación similar con microservicios puede lograr el mismo objetivo. 

Los componentes como instancias Amazon Elastic Compute Cloud (Amazon EC2), clústeres de base de datos de Amazon Relational Database Service (Amazon RDS) y funciones AWS Lambda que comparten requisitos de accesibilidad pueden segmentarse en capas formadas por subredes. Por ejemplo, un clúster de base de datos de Amazon RDS en una VPC sin necesidad de acceso a Internet debe colocarse en subredes sin enrutamiento hacia Internet o desde Internet. Este enfoque por capas para los controles mitiga el impacto de una configuración errónea de una sola capa, que podría permitir un acceso involuntario. Para Lambda, puede ejecutar sus funciones en su VPC a fin de aprovechar los controles basados en VPC.

Para la conectividad de redes que pueden incluir miles de VPC, cuentas de AWS y redes locales, debe utilizar [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Sirve de centro que controla cómo se enruta el tráfico entre todas las redes conectadas, que actúan como radios. El tráfico entre una Amazon Virtual Private Cloud y AWS Transit Gateway permanece en la red privada de AWS, lo que reduce los vectores de amenazas externas, como los ataques de denegación de servicio distribuido (DDoS) y los ataques comunes, como la inyección de código SQL, los scripts entre sitios, la falsificación de solicitudes entre sitios o el abuso del código de autenticación dañado. El intercambio entre regiones de AWS Transit Gateway también cifra el tráfico entre regiones sin ningún punto de error o cuello de botella en el ancho de banda.

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Cree subredes en la VPC: cree subredes para cada capa (en grupos que incluyan varias zonas de disponibilidad) y asocie tablas de enrutamiento para controlar el enrutamiento. 
  +  [VPC y subredes ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Tablas de enrutamiento ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Seguridad de Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Introducción a AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vídeos relacionados:** 
+  [AWS Transit Gateway reference architectures for many VPCs (Arquitecturas de referencia de AWS Transit Gateway para muchas VPC) ](https://youtu.be/9Nikqn_02Oc)
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield (Aceleración y protección de aplicaciones con Amazon CloudFront, AWS WAF y AWS Shield)](https://youtu.be/0xlwLEccRe0) 

 **Ejemplos relacionados:** 
+  [Laboratorio: Despliegue automatizado de VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)