Seguridad en la VPC
Puede mantener IBM Cloud® Virtual Private Cloud y las cargas de trabajo seguras controlando el tráfico de red utilizando grupos de seguridad, listas de control de acceso de red (ACL) o ambos tipos de control.
Visión general de la seguridad
Los grupos de seguridad y las listas de control de acceso (ACL) ofrecen métodos para controlar el tráfico entre las subredes y las instancias de IBM Cloud® Virtual Private Cloud VPC, mediante las reglas que especifique. Los grupos de seguridad y las ACL añaden seguridad a las subredes y a las instancias:
- El tráfico hacia y desde una subred se puede controlar mediante las listas de control de acceso (ACL).
- Los grupos de seguridad pueden controlar el tráfico en el nivel de instancia de servidor virtual.
- Le permite configurar una pasarela pública para el acceso de subred a Internet, protegida por las ACL.
- Le permite implementar una IP flotante para el acceso de la instancia de servidor virtual a Internet, protegida por SG.
Si está configurando una VPC con IBM Cloud Internet Services(CIS), puede evitar ataques DDoS permitiendo el tráfico sólo a través de CIS (lista de elementos permitidos) en la VPC. Establezca la Network ACL y los grupos de seguridad en la lista de elementos permitidos del tráfico de CIS.
Definiciones
En las secciones siguientes se describen las funciones básicas de las ACL y de los grupos de seguridad y explican las formas en que la VPC ofrece soporte para el cifrado de extremo a extremo.
Lista de control de accesos
Una Lista de control de acceso (ACL) puede gestionar (es decir, puede permitir o denegar) el tráfico de entrada y salida de una subred. Una ACL no tiene estado, lo que significa que las reglas de entrada y salida deben especificarse de forma independiente y explícita. Cada ACL consta de reglas, basadas en una IP de origen, un puerto de origen, una IP de destino, un puerto de destino y un protocolo.
Cada VPC tiene una ACL predeterminada que permite todo el tráfico de entrada y de salida. Puede editar las reglas de la ACL predeterminada o puede crear una ACL personalizada y conectarla a las subredes. Una subred solo puede tener una ACL conectada a ella en cualquier momento, pero una ACL puede estar conectada a varias subredes. Para obtener más información sobre cómo utilizar las ACL, consulte Configuración de las ACL de red.
Grupos de seguridad
Un grupo de seguridad actúa como un cortafuegos virtual que controla el tráfico para una o más instancias de servidor virtual. Un grupo de seguridad es una colección de reglas que especifican si se permite o deniega el tráfico de una instancia asociada.Se puede asociar una instancia a uno o varios grupos de seguridad y editar las reglas de los grupos de seguridad. Para obtener más información, consulte Utilización de grupos de seguridad.
Comparación entre grupos de seguridad y listas de control de accesos
En la tabla 1 se resumen algunas diferencias claves entre los grupos de seguridad y las ACL.
| Grupos de seguridad | ACL | |
|---|---|---|
| Nivel de control | Instancia de servidor virtual | Subred |
| Estado | Con estado - Cuando se permite una conexión de entrada, se le permite responder | Sin estado - Se deben permitir explícitamente tanto las conexiones de entrada como las de salida |
| Reglas soportadas | Solo utiliza reglas que permiten | Utiliza reglas que permiten y que deniegan |
| Cómo se aplican las reglas | Se tienen en cuenta todas las reglas | Las reglas se procesan en secuencia |
| Relación con el recurso asociado | Una instancia puede estar asociada a varios grupos de seguridad | Es posible asociar varias subredes a la misma ACL |
Cifrado de principio a fin
Aunque IBM Cloud VPC no proporciona un cifrado de principio a fin, lo permite. Por ejemplo, si tiene un punto final seguro en una instancia de servidor virtual (como un servidor HTTPS en el puerto 443), puede adjuntar una IP flotante a dicha instancia y la conexión se cifrará de principio a fin desde el cliente al servidor del puerto 443. Nada de lo que hay en la vía de acceso fuerza un descifrado. Sin embargo, si utiliza un protocolo inseguro como HTTP en el puerto 80, los datos no estarán cifrados de principio a fin.
Si la aplicación requiere cifrado de extremo a extremo, es su responsabilidad asegurarse de que la conexión esté cifrada de extremo a extremo.