Firewall y grupos de seguridad

← Volver a documentación
Documentación / Redes y Seguridad / Firewall y grupos de seguridad

Grupos de seguridad

Los grupos de seguridad son firewalls virtuales a nivel de instancia que controlan el tráfico entrante (ingress) y saliente (egress). Cada regla define un protocolo (TCP, UDP, ICMP), un rango de puertos y una fuente o destino, que puede ser una dirección IP (192.168.1.0/24), otro grupo de seguridad o un prefijo administrado. Las reglas son stateful: si permites tráfico entrante en el puerto 80, la respuesta se permite automáticamente sin necesidad de reglas de salida.

Reglas de entrada

Las reglas de entrada determinan qué tráfico puede llegar a tu instancia. Para un servidor web típico, necesitarás reglas como: permitir TCP 80 (HTTP) desde 0.0.0.0/0, permitir TCP 443 (HTTPS) desde 0.0.0.0/0, y permitir TCP 22 (SSH) exclusivamente desde las IPs de tu oficina o VPN. Nunca permitas SSH desde 0.0.0.0/0. Utiliza la opción "Mi IP" en el panel para autocompletar tu dirección IP actual.

Reglas de salida

Por defecto, los grupos de seguridad permiten todo el tráfico saliente. Para entornos de alta seguridad, puedes restringir el tráfico saliente a destinos específicos. Por ejemplo, una instancia en una subred privada que solo necesita conectarse a una base de datos gestionada puede tener una regla de salida que permita TCP 3306 hacia el grupo de seguridad de la base de datos, denegando todo lo demás. Esto limita el movimiento lateral en caso de compromiso.

Network ACLs vs Grupos de seguridad

Las Network ACLs operan a nivel de subred y son stateless: requieren reglas explícitas tanto para tráfico entrante como saliente. Se evalúan en orden numérico y se procesan antes que los grupos de seguridad. Usa NACLs para bloquear direcciones IP maliciosas conocidas a nivel de subred y grupos de seguridad para el control granular por instancia. iLove Telecom recomienda usar ambos en conjunto para una defensa en profundidad.

Monitoreo y auditoría de reglas

El panel muestra un resumen de reglas con el número de instancias afectadas. Activa Flow Logs a nivel de VPC para capturar información detallada del tráfico aceptado y rechazado. Los logs se integran con el servicio de logging centralizado y te permiten identificar reglas demasiado permisivas, tráfico no esperado o intentos de conexión bloqueados. Revisa las reglas periódicamente y elimina aquellas que ya no sean necesarias.

¿No encuentras lo que buscas?

Nuestro equipo de soporte técnico está disponible 24/7 para ayudarte con cualquier duda.