Teorica 10 (SG, ACL, CDN) Flashcards
pasos para crear una vpc conectada a internet
- definir el rango de direcciones IP privadas y crear la VPC
- crear subnets en 1 o mas AZ
- Crear una ruta a internet (IGW)
- Autorizar trafico desde/hacia vpc
Como autorizamos el trafico desde/hacia la vpc
Por default todo el trafico es denegado
Tenemos Security groups (SG) (reglas que van a nivel instancia y son stateful)
Network ACL (nivel subnet y stateless)
Security Groups
Lo podemos pensar como un firewall virtual
Una instancia EC2 posee una o mas ENIs
Cada ENI tiene asociado uno o mas SG
Un SG puede tener reglas de acceso entrantes o salientes
Solo se permiten reglas del tipo “Allow” (todo lo q no está permitido es denegado) –> no podria bloquear el acceso a una ip determinada
Network ACL
Cada vpc se creea con un ACL default
Se puede asociar un mismo ACL a varias subnets
Cada subnet puede tener solo 1 ACL
Un ACL puede tener multiples reglas (inbound y outbound)
Se permiten reglas de tipo Allow y/o Deny
Capas de seguridad en redes en aws
Capa 1: security group (firewall virtual a nivel ENI)
Capa 2: Network ACL (objetivo: proteger instancias especificas dentro de una VPC)
Capa 3: Especificas del proveedor (firewall de DNS, WAF, shield de DDos)
Route 53
Servicio DNS de AWS
Registro directo de nuevos dominios
Resolucion de nombres de dominio existentes
Health Checks (Checkeos que se hacen contra determinados destinos para ver si estan vivos o no y en base a eso alterar la resolucion de nombres o no)
Caracteristicas de Route 53
AWS te asegura de que vas a tener un SLA del 100% (se supone q no se cae nunca)
DNS Failover (puedo configurar que si me falla alguno de los ips a los q apunta el nombre me devuelva otra cosa)
Resolucion basada en reglas
Logging de consultas DNS
Hosted Zone
Zona DNS (contenedor de registros DNS)
Public Hosted Zones (para resolucion de nombres accesibles via internet)
Private Hosted Zones:
para resolver nombres internos dentro de una VPC. Para obtener una respuesta de una private hosted zone debo preguntar desde una instancia EC2 dentro de la VPC
Alias Records
Tipo especial de registro en AWS (no es parte del estandar DNS)
Apunta a un recurso de AWS o a otro registro
Los alias pueden ser usados en la raiz de la zona
Son resueltos por Route 53 internamente
(AWS automaticamente va a updatear la ip por detras)
Para que se utiliza Alias Records
para apuntar directamente a cosas como
Un sitio web estático en un bucket S3
Una distribucion CloudFront
Un Elastic Load Balancer
Routing Policies
Controlan las respuestas de Route 53 a las consultas DNS
Podemos redirigir automaticamente las consultas a destinos que esten andando bien
Se utilizan en conjunto con los health checks
Tipos de routing policies
DNS normal
Failover
Geolocation: depende de donde esta el usuario que preguntaa te va a devolver una cosa u otra)
Geo proximity: No depende de donde esta el cliente sino que te devuelve la ip mas cercana basada en latencia
Latency: te devuelve el que tiene menor latencia
Multivalue answer
Weighted
Elastic Load Balancing
load balancer dentro de aws
Una ip q enmascara cosas que estan atras y cuando le pego a la ip me redirecciona de acuerdo a las reglas que tenga
Escala utomaticamente dependiendo del trafico entrante
Monitorea el estado y rutea a destinos sanos
Cross AZ
Tipos de Load Balancer
Application Load Balancer
Network Load Balancer
Gateway Load Balancer (3rd party appliaces)
Application load balancer (ALB)
Capa 7
http, https, grpc
Puede rutear en base al contenido del requet
Usos tipicos: sitios web, microservicios
Tiene sticky sessions
Sticky sessions
Permite redirigir al mismo cliente siempre a la misma instancia de backend
Se usa para que el usuario no pierda los datos del estado
El cliente debe soportar cookies
Network Load Balancer (NLB)
Capa 4
TCP, UDP, TLS
Menor latencia que los ALB
Uso tipico: balanceo de carga entre isntancias EC2
Que servicios de Seguridad ofrece AWS
AWS WAF
AWS Shield Advanced
AWS Fireawall Manager
AWS- WAF
Filtrar request de acuerdo a reglas
protege contra exploits comunes de capa 7
no protege contra ddos
Shield santdart
protección contra DDoS básicos
AWS Shield Advanced
protección contra ataques más sofisticados
Firewall Manager
Permite administrar las reglas para todas las cuentas de una organizacion
CDN
Grupo de servidores distribuidos geograficamente para optimizar el trafico web, al llegar el servicio mas cerca del cliente
Casos de uso CDN
- cache de sitios
- Aceleracion de APIs
- Objetos estaticos
- Streaming de video
- Descarga de archivos grandes
- AWS Shield Advanced
Cloud Front
- Ruteo DNS inteligente basado en latencia y disponibilidad
- Edge locations basadas en un modelo PoP (puntos de presencia)
- Doble cache (edge location y regional edge cache)
- Proteccion contra DDoS
- WAF
- Control de acceso/URL firmadas
tipos de storage en la nube
archivos: EFC
Bloque: EBS y EC2 Instance Store
Objetos: S3 y Glacier (es medio parte de S3)
EFS - elastic file system
- Network file sytem as a service
- Escalable, elastico, alta disponibilidad
- Compatible con protocolo NFS
- Caso de uso: montar un volumen compartido entre multiples instancias de EC2 (podria guardar backups por ej)
Elastic Block Storage - EBS
Discos virtuales
Estan en la red (NAS)
Casos de uso: disco dedicado a una instancia EC2
EC2 Instance Storage
Disco raiz de una instancia EC2
Algunas instancias vienen en ssd
Attacheado fisicamente al host que aloja la instancia EC2
Se borran al reiniciar la instancia
Casos de uso: datos temporales, cache, etc
S3
Almacenar archivos en la nube
Alta disponibilidad (segun los tiers que elijas tenes mas o menos)
Redundante
Pueden definirse politicas de ciclo de vida para mover archivos automaticamente entre tiers
