Cómo crear un grupo de seguridad (SG) y una lista de control de acceso a la red (NACL) en AWS

Los Grupos de Seguridad (SG) y las Listas de Control de Acceso a la Red (NACL) son las características que vienen con la Nube Privada Virtual (VPC) en Amazon Web Services (AWS).

Los SG actúan como un cortafuegos para nuestra instancia para controlar o restringir el tráfico entrante y saliente. Cuando lanzamos una instancia en una VPC, podemos asignar hasta cinco grupos de seguridad a la instancia. Los grupos de seguridad actúan a nivel de instancia y no de subred. Si no especificamos un grupo concreto en el momento del lanzamiento, la instancia se asigna automáticamente al grupo de seguridad por defecto de la VPC.

Podemos añadir reglas en el GE que controlen el tráfico de entrada a las instancias, y otro conjunto de reglas que controlen el tráfico de salida.

Una NACL es una capa opcional de seguridad para la VPC que actúa como un cortafuegos para controlar el tráfico que entra y sale de una o varias subredes. Podemos configurar las NACL con reglas similares a las SG para añadir una capa adicional de seguridad en la subred.

Antes de seguir creando una SG y una NACL, veamos la diferencia entre ambas.

1. La SG opera a nivel de instancia mientras que la NACL lo hace a nivel de subred.
2. El SG sólo admite reglas de permiso y el NACL admite reglas de permiso y de denegación.
3. SG evalúa todas las reglas antes de decidir si permite el tráfico y en NACL las reglas se procesan por orden numérico al decidir si permite el tráfico.
4. SG se aplica a una instancia sólo si alguien especifica el grupo de seguridad, mientras que NACL se aplica automáticamente a todas las instancias de las subredes a las que está asociado.

En este artículo, veremos los pasos para crear un SG y una NACL.

Requisitos previos

1. Cuenta de AWS (Crea si no tienes una).

¿Qué vamos a hacer?

1. Iniciar sesión en AWS.
2. Crea un Grupo de Seguridad
3. Crea una Lista de Control de Acceso a la Red.

Inicia sesión en AWS

1. Haz clic en aquí para ir a la página de inicio de sesión de AWS.

Cuando pulsemos el enlace anterior, veremos una página web como la siguiente en la que se nos pide que iniciemos sesión con nuestros datos de acceso.

Una vez que iniciemos sesión en AWS con éxito, veremos la consola principal con todos los servicios listados como sigue.

Crear un Grupo de Seguridad

Para crear un GE, haz clic en «Servicio» en la barra de menú superior y busca «VPC» y haz clic en el resultado.

En el panel principal de la VPC, haz clic en «Grupo de seguridad» del panel izquierdo para crear tu primer grupo de seguridad.

Haz clic en «Crear grupo de seguridad» para crearlo.

Dale un nombre al grupo de seguridad que vas a crear junto con una descripción que pueda ayudar a entender el propósito del mismo.

Una vez creado el grupo de seguridad, podrás ver la siguiente pantalla. Haz clic en el enlace del ID del Grupo de Seguridad para ir al SG y añadir Reglas de Entrada y Salida.

Aquí, haz clic en «Reglas de Entrada» disponible en el menú inferior junto a la descripción y haz clic en «Editar Reglas» para añadir reglas en este SG.

Puedes elegir el tipo de Regla a añadir, su puerto/intervalo de puertos. En Origen puedes seleccionar «Mi IP», «Personalizada» o «Cualquier lugar», esto decide el origen que se va a permitir. Añade una descripción que ayude a entender el propósito de la Regla añadida. Una vez que hayas terminado de añadir la regla deseada, haz clic en «Guardar reglas».

De la misma manera que hemos añadido Reglas de Entrada, también se pueden añadir Reglas de Salida.

Crear una Lista de Control de Acceso a la Red

Para crear una NACL, haz clic en «ACL de red» en el panel izquierdo.

Dale un nombre a la NACL y selecciona la VPC a la que se aplicará esta NACL y haz clic en Crear.

Selecciona la NACL que acabas de crear y haz clic en «Reglas de entrada» en el menú inferior.

Añade el número de la regla que decide la prioridad sobre otras reglas. El número más bajo tiene la mayor prioridad. Aquí, la primera regla tiene prioridad 1 para el puerto 22 como Denegación. Esto significa que aunque la segunda regla tenga Permitir para todos(0.0.0.0/0) con una prioridad más baja, esta segunda regla no tendrá ningún efecto sobre la Fuente de la primera regla y seguirá negando a la fuente de la primera regla. Ten mucho cuidado al añadir las reglas y los números de las mismas. Una vez que hayas terminado de añadir todas las reglas necesarias, haz clic en «Crear».

Puedes seguir los mismos pasos para añadir reglas salientes.

Conclusión

En este artículo hemos visto los pasos para crear una SG y una NACL. Crear una SG o una NACL es muy fácil, pero ten mucho cuidado al añadirles las reglas y especialmente a la NACL.