Teorica 10 (SG, ACL, CDN) Flashcards

1
Q

pasos para crear una vpc conectada a internet

A
  1. definir el rango de direcciones IP privadas y crear la VPC
  2. crear subnets en 1 o mas AZ
  3. Crear una ruta a internet (IGW)
  4. Autorizar trafico desde/hacia vpc
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Como autorizamos el trafico desde/hacia la vpc

A

Por default todo el trafico es denegado
Tenemos Security groups (SG) (reglas que van a nivel instancia y son stateful)
Network ACL (nivel subnet y stateless)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Security Groups

A

Lo podemos pensar como un firewall virtual
Una instancia EC2 posee una o mas ENIs
Cada ENI tiene asociado uno o mas SG
Un SG puede tener reglas de acceso entrantes o salientes
Solo se permiten reglas del tipo “Allow” (todo lo q no está permitido es denegado) –> no podria bloquear el acceso a una ip determinada

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Network ACL

A

Cada vpc se creea con un ACL default
Se puede asociar un mismo ACL a varias subnets
Cada subnet puede tener solo 1 ACL
Un ACL puede tener multiples reglas (inbound y outbound)
Se permiten reglas de tipo Allow y/o Deny

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Capas de seguridad en redes en aws

A

Capa 1: security group (firewall virtual a nivel ENI)
Capa 2: Network ACL (objetivo: proteger instancias especificas dentro de una VPC)
Capa 3: Especificas del proveedor (firewall de DNS, WAF, shield de DDos)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Route 53

A

Servicio DNS de AWS
Registro directo de nuevos dominios
Resolucion de nombres de dominio existentes
Health Checks (Checkeos que se hacen contra determinados destinos para ver si estan vivos o no y en base a eso alterar la resolucion de nombres o no)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Caracteristicas de Route 53

A

AWS te asegura de que vas a tener un SLA del 100% (se supone q no se cae nunca)
DNS Failover (puedo configurar que si me falla alguno de los ips a los q apunta el nombre me devuelva otra cosa)
Resolucion basada en reglas
Logging de consultas DNS

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Hosted Zone

A

Zona DNS (contenedor de registros DNS)
Public Hosted Zones (para resolucion de nombres accesibles via internet)
Private Hosted Zones:
para resolver nombres internos dentro de una VPC. Para obtener una respuesta de una private hosted zone debo preguntar desde una instancia EC2 dentro de la VPC

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Alias Records

A

Tipo especial de registro en AWS (no es parte del estandar DNS)
Apunta a un recurso de AWS o a otro registro
Los alias pueden ser usados en la raiz de la zona
Son resueltos por Route 53 internamente
(AWS automaticamente va a updatear la ip por detras)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Para que se utiliza Alias Records

A

para apuntar directamente a cosas como
Un sitio web estático en un bucket S3
Una distribucion CloudFront
Un Elastic Load Balancer

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Routing Policies

A

Controlan las respuestas de Route 53 a las consultas DNS
Podemos redirigir automaticamente las consultas a destinos que esten andando bien
Se utilizan en conjunto con los health checks

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Tipos de routing policies

A

DNS normal
Failover
Geolocation: depende de donde esta el usuario que preguntaa te va a devolver una cosa u otra)
Geo proximity: No depende de donde esta el cliente sino que te devuelve la ip mas cercana basada en latencia
Latency: te devuelve el que tiene menor latencia
Multivalue answer
Weighted

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Elastic Load Balancing

A

load balancer dentro de aws
Una ip q enmascara cosas que estan atras y cuando le pego a la ip me redirecciona de acuerdo a las reglas que tenga
Escala utomaticamente dependiendo del trafico entrante
Monitorea el estado y rutea a destinos sanos
Cross AZ

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Tipos de Load Balancer

A

Application Load Balancer
Network Load Balancer
Gateway Load Balancer (3rd party appliaces)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Application load balancer (ALB)

A

Capa 7
http, https, grpc
Puede rutear en base al contenido del requet
Usos tipicos: sitios web, microservicios
Tiene sticky sessions

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Sticky sessions

A

Permite redirigir al mismo cliente siempre a la misma instancia de backend
Se usa para que el usuario no pierda los datos del estado
El cliente debe soportar cookies

17
Q

Network Load Balancer (NLB)

A

Capa 4
TCP, UDP, TLS
Menor latencia que los ALB
Uso tipico: balanceo de carga entre isntancias EC2

18
Q

Que servicios de Seguridad ofrece AWS

A

AWS WAF
AWS Shield Advanced
AWS Fireawall Manager

19
Q

AWS- WAF

A

Filtrar request de acuerdo a reglas
protege contra exploits comunes de capa 7
no protege contra ddos

20
Q

Shield santdart

A

protección contra DDoS básicos

21
Q

AWS Shield Advanced

A

protección contra ataques más sofisticados

22
Q

Firewall Manager

A

Permite administrar las reglas para todas las cuentas de una organizacion

23
Q

CDN

A

Grupo de servidores distribuidos geograficamente para optimizar el trafico web, al llegar el servicio mas cerca del cliente

24
Q

Casos de uso CDN

A
  • cache de sitios
  • Aceleracion de APIs
  • Objetos estaticos
  • Streaming de video
  • Descarga de archivos grandes
  • AWS Shield Advanced
25
Q

Cloud Front

A
  • Ruteo DNS inteligente basado en latencia y disponibilidad
  • Edge locations basadas en un modelo PoP (puntos de presencia)
  • Doble cache (edge location y regional edge cache)
  • Proteccion contra DDoS
  • WAF
  • Control de acceso/URL firmadas
26
Q

tipos de storage en la nube

A

archivos: EFC
Bloque: EBS y EC2 Instance Store
Objetos: S3 y Glacier (es medio parte de S3)

27
Q

EFS - elastic file system

A
  • Network file sytem as a service
  • Escalable, elastico, alta disponibilidad
  • Compatible con protocolo NFS
  • Caso de uso: montar un volumen compartido entre multiples instancias de EC2 (podria guardar backups por ej)
28
Q

Elastic Block Storage - EBS

A

Discos virtuales
Estan en la red (NAS)
Casos de uso: disco dedicado a una instancia EC2

29
Q

EC2 Instance Storage

A

Disco raiz de una instancia EC2
Algunas instancias vienen en ssd
Attacheado fisicamente al host que aloja la instancia EC2
Se borran al reiniciar la instancia
Casos de uso: datos temporales, cache, etc

30
Q

S3

A

Almacenar archivos en la nube
Alta disponibilidad (segun los tiers que elijas tenes mas o menos)
Redundante
Pueden definirse politicas de ciclo de vida para mover archivos automaticamente entre tiers