Diseño de Arquitecturas resilientes
La arquitectura es un importante control de seguridad, una buena arquitectura reduce vectores de ataque y el impacto ante una brecha
- Evite el uso de puertos SSH/RDP expuestos, restrinja la IP de origen o mejor aún, utilice AWS Systems Manager Fleet Manager que no requiere la apertura de puertos inbound.
- Limite la expansión lateral de los oponentes: Por ejemplo, configure los Security Groups de las bases de datos para recibir tráfico sólo desde instancias que se encuentren en el Security Group de los application servers (por referencia al security group).
- Permita únicamente los caminos de red mínimos necesarios.
- Aproveche múltiples Zonas de disponibilidad para incrementar su resiliencia ante fallas o desastres.
Revise los documentos del Well Architected Framework para mejorar sus capacidades de diseño de arquitectura seguro.
Para generar automáticamente diagramas de arquitectura de su infraestructura en AWS existe una herramienta llamada AWS Perspective que les ayudará a hacer revisiones de arquitectura, detectar recursos escondidos (Shadow IT), y hacer búsquedas por nombre de recurso tags, resource name, IP, etc. El gráfico que genera es exportable a formatos que permiten modificaciones como draw.io, CSV, JSON, además de como imagen (PNG).
AWS Security Reference Architecture
Para obtener detalles adicionales sobre cómo se ve una arquitectura de referencia para un entorno seguro, revise la siguiente documentación:
