Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Inspección entrante centralizada
Las aplicaciones orientadas a Internet, por su naturaleza, tienen una mayor superficie de ataque y están expuestas a categorías de amenazas a las que la mayoría de los demás tipos de aplicaciones no tienen que enfrentarse. Contar con la protección necesaria contra los ataques a este tipo de aplicaciones y minimizar la superficie de impacto son elementos fundamentales de cualquier estrategia de seguridad.
A medida que despliegues aplicaciones en tu zona de destino, los usuarios accederán a muchas aplicaciones a través de la Internet pública (por ejemplo, a través de una red de entrega de contenido (CDN) o a través de una aplicación web pública), mediante un balanceador de carga público, una puerta de enlace de API o directamente a través de una puerta de enlace de Internet. En este caso, puede proteger sus cargas de trabajo y aplicaciones con AWS Web Application Firewall (AWS WAF) para la inspección de aplicaciones entrantes o, si lo IDS/IPS prefiere, con Gateway Load Balancer o. AWS Network Firewall
A medida que vaya implementando aplicaciones en su zona de destino, es posible que tenga que inspeccionar el tráfico de Internet entrante. Puede lograrlo de varias maneras: mediante arquitecturas de inspección distribuidas, centralizadas o combinadas, mediante Gateway Load Balancer, que ejecuta dispositivos de firewall de terceros, AWS Network Firewall o con DPI IDS/IPS y capacidades avanzadas mediante el uso de reglas de Suricata de código abierto. En esta sección, se describe tanto el Load Balancer de puertas de enlace como AWS Network Firewall las implementaciones centralizadas, que utilizan la función AWS Transit Gateway de concentrador central para el enrutamiento del tráfico.
## AWS WAF y AWS Firewall Manager para inspeccionar el tráfico entrante de Internet
AWS WAF es un firewall de aplicaciones web que ayuda a proteger sus aplicaciones web o APIs contra los exploits y bots más comunes que pueden afectar a la disponibilidad, comprometer la seguridad o consumir recursos excesivos. AWS WAF le permite controlar la forma en que el tráfico llega a sus aplicaciones, ya que le permite crear reglas de seguridad que controlan el tráfico de bots y bloquean los patrones de ataque más comunes, como la inyección de código SQL o los scripts entre sitios (XSS). También puede personalizar las reglas que filtran patrones de tráfico específicos.
Puede implementarlo AWS WAF en Amazon CloudFront como parte de su solución de CDN, el Application Load Balancer que se encuentra en sus servidores web, Amazon API Gateway para su APIs REST AWS AppSync o para su GraphQL. APIs
Una vez implementadas AWS WAF, puedes crear tus propias reglas de filtrado de tráfico mediante el generador visual de reglas, programar en JSON, administrar reglas gestionadas por ellas AWS o suscribirte a reglas de terceros desde. AWS Marketplace Estas reglas pueden filtrar el tráfico no deseado al evaluar el tráfico en función de los patrones especificados. También puedes usar Amazon CloudWatch para monitorear las estadísticas y el registro del tráfico entrante.
Para una administración centralizada de todas sus cuentas y aplicaciones AWS Organizations, puede utilizar AWS Firewall Manager. AWS Firewall Manager es un servicio de administración de seguridad que le permite configurar y administrar de forma centralizada las reglas del firewall. A medida que se crean nuevas aplicaciones, AWS Firewall Manager facilita el cumplimiento de las nuevas aplicaciones y recursos mediante la aplicación de un conjunto común de reglas de seguridad.
Con AWS Firewall Managerél, puede implementar fácilmente AWS WAF reglas para sus balanceadores de carga de aplicaciones, instancias de API Gateway y CloudFront distribuciones de Amazon. AWS Firewall Manager se integra con Reglas administradas de AWS for AWS WAF, lo que le proporciona una forma sencilla de implementar AWS WAF reglas preconfiguradas y seleccionadas en sus aplicaciones. Para obtener más información sobre la gestión centralizada AWS WAF con AWS Firewall Manager, consulte [Gestión centralizada AWS WAF (API v2) y Reglas administradas de AWS escalabilidad con AWS Firewall Manager](https://aws.amazon.com/blogs/security/centrally-manage-aws-waf-api-v2-and-aws-managed-rules-at-scale-with-firewall-manager/).
![\[Un diagrama que muestra la inspección centralizada del tráfico entrante mediante AWS WAF\]](http://docs.aws.amazon.com/es_es/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/inbound-traffic-inspection-with-waf.png)
En la arquitectura anterior, las aplicaciones se ejecutan en instancias de Amazon EC2 en varias zonas de disponibilidad de las subredes privadas. Hay un Application Load Balancer (ALB) orientado al público que se implementa delante de las instancias de Amazon EC2, que equilibra la carga de las solicitudes entre los diferentes destinos. AWS WAF Está asociado al ALB.
### Ventajas
+ Con [AWS WAF Bot Control](https://aws.amazon.com/waf/features/bot-control/), obtiene visibilidad y control sobre el tráfico de bots común y generalizado que llega a sus aplicaciones.
+ Con [Managed Rules for AWS WAF](https://aws.amazon.com/marketplace/solutions/security/waf-managed-rules), puede empezar rápidamente a proteger su aplicación web o APIs contra las amenazas más habituales. Puede seleccionar entre muchos tipos de reglas, como las que abordan cuestiones como los 10 principales riesgos de seguridad del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP), las amenazas específicas de los sistemas de gestión de contenido (CMS), como Joomla, WordPress o incluso las emergentes vulnerabilidades y exposiciones comunes (CVE). Las reglas administradas se actualizan automáticamente a medida que surgen nuevos problemas, para que pueda dedicar más tiempo a crear aplicaciones.
+ AWS WAF es un servicio gestionado y en esta arquitectura no se necesita ningún dispositivo para su inspección. Además, proporciona registros prácticamente en tiempo real a través de [Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/). AWS WAF proporciona visibilidad casi en tiempo real de tu tráfico web, que puedes utilizar para crear nuevas reglas o alertas en Amazon. CloudWatch
### Consideraciones clave
+ Esta arquitectura es la más adecuada para la inspección de encabezados HTTP y las inspecciones distribuidas, ya que AWS WAF está integrada en una API Gateway por ALB, una CloudFront distribución y una API Gateway. AWS WAF no registra el cuerpo de la solicitud.
+ Es posible que el tráfico que se dirige a un segundo conjunto de ALB (si está presente) no sea inspeccionado por la misma AWS WAF instancia, ya que se haría una nueva solicitud al segundo conjunto de ALB.
# Inspección centralizada de entradas con dispositivos de terceros
En este patrón de diseño arquitectónico, se implementan dispositivos de firewall de terceros en Amazon EC2 en varias zonas de disponibilidad detrás de un Elastic Load Balancer (ELB), como un Load Application/Network Balancer, en una VPC de inspección independiente.
La VPC de inspección y otros radios VPCs se conectan entre sí a través de una Transit Gateway como accesorios de VPC. Las aplicaciones de Spoke VPCs están integradas por un ELB interno, que puede ser ALB o NLB, según el tipo de aplicación. Los clientes a través de Internet se conectan al DNS del ELB externo en la VPC de inspección, que enruta el tráfico a uno de los dispositivos de firewall. El firewall inspecciona el tráfico y, a continuación, lo enruta a la VPC Spoke a través de Transit Gateway mediante el DNS del ELB interno, como se muestra en la siguiente figura. Para obtener más información sobre la inspección de seguridad entrante con dispositivos de terceros, consulte la entrada del blog [Cómo integrar dispositivos de firewall de terceros en un entorno de AWS](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/).
![\[Un diagrama que muestra la inspección centralizada del tráfico de entrada mediante dispositivos de terceros y ELB\]](http://docs.aws.amazon.com/es_es/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-third-party.png)
## Ventajas
+ Esta arquitectura puede admitir cualquier tipo de aplicación de inspección y las funciones de inspección avanzada que ofrecen los dispositivos de firewall de terceros.
+ Este patrón admite el enrutamiento basado en DNS desde los dispositivos de firewall a los radios VPCs, lo que permite que las aplicaciones de VPCs Spoke se escalen de forma independiente detrás de un ELB.
+ Puede usar Auto Scaling con el ELB para escalar los dispositivos de firewall de la VPC de inspección.
## Consideraciones clave
+ Para obtener una alta disponibilidad, debe implementar varios dispositivos de firewall en las zonas de disponibilidad.
+ El firewall debe configurarse con la NAT de origen y ejecutarla para mantener la simetría del flujo, lo que significa que la aplicación no podrá ver la dirección IP del cliente.
+ Considere la posibilidad de implementar Transit Gateway y Inspection VPC en la cuenta de servicios de red.
+ licensing/support Coste adicional del firewall de un proveedor externo. Los cargos de Amazon EC2 dependen del tipo de instancia.
# Inspección del tráfico entrante de Internet mediante dispositivos de firewall con Gateway Load Balancer
Los clientes utilizan firewalls de última generación (NGFW) y sistemas de prevención de intrusiones (IPS) de terceros como parte de su estrategia de defensa exhaustiva. Tradicionalmente, suelen ser dispositivos o hardware dedicados. software/virtual Puede usar Gateway Load Balancer para escalar estos dispositivos virtuales de forma horizontal e inspeccionar el tráfico desde y hacia la VPC, como se muestra en la siguiente figura.
![\[Un diagrama que muestra la inspección centralizada del tráfico de entrada mediante dispositivos de firewall con Gateway Load Balancer\]](http://docs.aws.amazon.com/es_es/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-fa.png)
En la arquitectura anterior, los puntos finales del Gateway Load Balancer se implementan en cada zona de disponibilidad en una VPC perimetral independiente. Los firewalls, los sistemas de prevención de intrusiones, etc. de próxima generación se implementan detrás del Gateway Load Balancer en la VPC centralizada del dispositivo. La VPC de este dispositivo puede estar en la misma cuenta de AWS que la radio VPCs o en una cuenta de AWS diferente. Los dispositivos virtuales se pueden configurar para usar grupos de Auto Scaling y se registran automáticamente en el Gateway Load Balancer, lo que permite el escalado automático de la capa de seguridad.
Estos dispositivos virtuales se pueden administrar accediendo a sus interfaces de administración a través de una puerta de enlace de Internet (IGW) o mediante una configuración de host bastión en la VPC del dispositivo.
Mediante la función de enrutamiento de entrada de VPC, la tabla de enrutamiento perimetral se actualiza para enrutar el tráfico entrante de Internet a los dispositivos de firewall detrás de Gateway Load Balancer. El tráfico inspeccionado se enruta a través de los puntos finales del Gateway Load Balancer a la instancia de VPC de destino. Consulte la entrada del blog [Introducing AWS Gateway Load Balancer: Supported architecture patterns](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/) para obtener más información sobre las distintas formas de utilizar Gateway Load Balancer.
# Utilizándolo AWS Network Firewall para una entrada centralizada
En esta arquitectura, el tráfico de entrada se inspecciona AWS Network Firewall antes de llegar al resto del. VPCs En esta configuración, el tráfico se divide entre todos los puntos finales de firewall implementados en la VPC Edge. Se implementa una subred pública entre el punto final del firewall y la subred Transit Gateway. Puedes usar un ALB o un NLB, que contienen objetivos IP en tus radios y, al VPCs mismo tiempo, controlan el Auto Scaling para los objetivos que están detrás de ellos.
![\[Diagrama que muestra la inspección del tráfico de entrada mediante AWS Network Firewall\]](http://docs.aws.amazon.com/es_es/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-using-aws-nf.png)
Para simplificar la implementación y la administración AWS Network Firewall de este modelo, se AWS Firewall Manager puede utilizar. Firewall Manager le permite administrar de forma centralizada sus diferentes firewalls al aplicar automáticamente la protección que cree en la ubicación centralizada a varias cuentas. Firewall Manager admite modelos de implementación distribuidos y centralizados para Network Firewall. La entrada del blog [Cómo implementar AWS Network Firewall mediante el uso AWS Firewall Manager](https://aws.amazon.com/blogs/security/how-to-deploy-aws-network-firewall-by-using-aws-firewall-manager/) proporciona más detalles sobre el modelo.
## Inspección profunda de paquetes (DPI) con AWS Network Firewall
Network Firewall puede realizar una inspección profunda de paquetes (DPI) en el tráfico de entrada. Al utilizar un certificado de seguridad de capa de transporte (TLS) almacenado en AWS Certificate Manager (ACM), Network Firewall puede descifrar paquetes, realizar DPI y volver a cifrarlos. Hay algunas consideraciones para configurar el DPI con Network Firewall. En primer lugar, se debe almacenar un certificado TLS de confianza en ACM. En segundo lugar, las reglas de Network Firewall deben configurarse para enviar correctamente los paquetes para su descifrado y recrifrado. Consulte la entrada del blog sobre la [configuración de la inspección de TLS para ver el tráfico cifrado y AWS Network Firewall](https://aws.amazon.com/blogs/security/tls-inspection-configuration-for-encrypted-traffic-and-aws-network-firewall/) obtener más información.
## Consideraciones clave para AWS Network Firewall una arquitectura de entrada centralizada
+ Elastic Load Balancing en la VPC de Edge solo puede tener direcciones IP como tipos de destino, no un nombre de host. En la figura anterior, los objetivos son los privados IPs del Network Load Balancer en Spoke. VPCs El uso de objetivos IP detrás del ELB en la VPC perimetral provoca la pérdida de Auto Scaling.
+ Considere la posibilidad de AWS Firewall Manager utilizarlos como un panel de vidrio único para los puntos finales de su firewall.
+ Este modelo de implementación utiliza la inspección de tráfico justo cuando entra en la VPC perimetral, por lo que tiene el potencial de reducir el coste total de la arquitectura de inspección.