Actualización de los grupos de seguridad del equilibrador de carga de red - Elastic Load Balancing
ConsideracionesEjemplo: Filtrar el tráfico de clientesEjemplo: Aceptar tráfico solo procedente del equilibrador de carga de redActualizar los grupos de seguridad asociadosActualizar la configuración de seguridadSupervisión de los grupos de seguridad

Actualización de los grupos de seguridad del equilibrador de carga de red

Puede asociar un grupo de seguridad al equilibrador de carga de red para controlar el tráfico que tiene permitido llegar y salir del equilibrador de carga de red. Debe especificar los puertos, los protocolos y los orígenes para permitir el tráfico entrante y los puertos, protocolos y destinos a fin de permitir el tráfico saliente. Si no asigna un grupo de seguridad al equilibrador de carga de red, todo el tráfico de los clientes puede llegar a los oyentes del equilibrador de carga de red y todo el tráfico puede salir de este.

Puede agregar una regla a los grupos de seguridad asociados a sus destinos que haga referencia al grupo de seguridad asociado a su equilibrador de carga de red. Esto permite que los clientes envíen tráfico a los destinos a través del equilibrador de carga de red, pero impide que envíen tráfico a los destinos directamente. Hacer referencia al grupo de seguridad asociado al equilibrador de carga de red en los grupos de seguridad asociados a los destinos garantiza que estos últimos acepten el tráfico del equilibrador de carga de red incluso si habilita la preservación de la IP del cliente para el equilibrador de carga de red.

No se le cobrará por el tráfico que se encuentre bloqueado por las reglas del grupo de seguridad entrante.

Consideraciones

  • Puede asociar grupos de seguridad a un equilibrador de carga de red al crearlo. Si crea un equilibrador de carga de red sin asociarle ningún grupo de seguridad, no podrá asociárselos al equilibrador de carga de red más adelante. Se recomienda asociar un grupo de seguridad al equilibrador de carga de red cuando se cree este.

  • Después de crear un equilibrador de carga de red con grupos de seguridad asociados, puede cambiar los grupos de seguridad asociados al equilibrador de carga de red en cualquier momento.

  • Las comprobaciones de estado se encuentran sujetas a las reglas de salida, pero no a las de entrada. Debe asegurarse de que las reglas de salida no bloqueen el tráfico de la comprobación de estado. De lo contrario, el equilibrador de carga de red considera que los destinos se encuentran en mal estado.

  • Puede controlar si el tráfico de PrivateLink se encuentra sujeto a las reglas de entrada. Si habilita las reglas de entrada en el tráfico de PrivateLink, el origen del tráfico es la dirección IP privada del cliente, no la interfaz del punto de conexión.

Las siguientes reglas de entrada del grupo de seguridad asociado a su equilibrador de carga de red solo permiten el tráfico que proviene del rango de direcciones especificado. Si se trata de un equilibrador de carga de red interno, puede especificar un rango de CIDR de VPC como origen para permitir solo el tráfico de una determinada VPC. Si se trata de un equilibrador de carga de red con acceso a Internet que debe aceptar tráfico desde cualquier parte de Internet, puede especificar 0.0.0.0/0 como origen.

Entrada
Protocolo Origen Intervalo de puertos Comment
protocolo rango de direcciones IP del cliente puerto del oyente Permite el tráfico entrante desde el CIDR de origen en el puerto del oyente
ICMP 0.0.0.0/0 Todos Permite que el tráfico de ICMP entrante sea compatible con MTU o la Detección de la MTU de la ruta †

† Para obtener más información, consulte Detección de la MTU de la ruta en la Guía del usuario de Amazon EC2.

Salida
Protocolo Destino Intervalo de puertos Comment
Todos Cualquier lugar Todos Permite todo el tráfico de salida

Suponga que su equilibrador de carga de red cuenta con un grupo de seguridad sg-111112222233333. Utilice las siguientes reglas en los grupos de seguridad asociados a sus instancias de destino para asegurarse de que solo acepten tráfico del equilibrador de carga de red. Debe asegurarse de que los destinos acepten tráfico procedente del equilibrador de carga de red tanto en el puerto de destino como en el puerto de comprobación de estado. Para obtener más información, consulte Grupos de seguridad de destino.

Entrada
Protocolo Origen Intervalo de puertos Comment
protocolo sg-111112222233333 puerto de destino Permite tráfico entrante procedente del equilibrador de carga de red en el puerto de destino
protocolo sg-111112222233333 comprobación de estado Permite tráfico entrante procedente del equilibrador de carga de red en el puerto de comprobación de estado
Salida
Protocolo Destino Intervalo de puertos Comment
Todos Cualquier lugar Cualquiera Permite todo el tráfico de salida

Actualizar los grupos de seguridad asociados

Si asoció al menos un grupo de seguridad a un equilibrador de carga de red cuando lo creó, puede actualizar los grupos de seguridad de ese equilibrador de carga de red en cualquier momento.

Console
Para actualizar los grupos de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en Equilibrio de carga, elija Equilibradores de carga.

  3. Seleccione el equilibrador de carga de red.

  4. En la pestaña Seguridad, seleccione Editar.

  5. Para asociar un grupo de seguridad al equilibrador de carga de red, selecciónelo. Para eliminar un grupo de seguridad del equilibrador de carga de red, desmárquelo.

  6. Seleccione Save changes (Guardar cambios).

AWS CLI
Para actualizar los grupos de seguridad

Utilice el comando set-security-groups.

aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --security-groups sg-1234567890abcdef0 sg-0abcdef0123456789
CloudFormation
Para actualizar los grupos de seguridad

Actualice el recurso AWS::ElasticLoadBalancingV2::LoadBalancer.

Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-nlb
      Type: network
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
        - !Ref myNewSecurityGroup

Actualizar la configuración de seguridad

De manera predeterminada, aplicamos las reglas de entrada del grupo de seguridad a todo el tráfico enviado al equilibrador de carga de red. No obstante, es posible que no desee aplicar estas reglas al tráfico enviado al equilibrador de carga de red a través de AWS PrivateLink, ya que puede provenir de direcciones IP superpuestas. En tal caso, puede configurar el equilibrador de carga de red para que no apliquemos las reglas de entrada al tráfico enviado al equilibrador de carga red a través de AWS PrivateLink.

Console
Para actualizar la configuración de seguridad

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en Equilibrio de carga, elija Equilibradores de carga.

  3. Seleccione el equilibrador de carga de red.

  4. En la pestaña Seguridad, seleccione Editar.

  5. En Configuración de seguridad, desmarque Aplicar reglas entrantes en el tráfico PrivateLink.

  6. Seleccione Save changes (Guardar cambios).

AWS CLI
Para actualizar la configuración de seguridad

Utilice el comando set-security-groups.

aws elbv2 set-security-groups \
    --load-balancer-arn load-balancer-arn \
    --enforce-security-group-inbound-rules-on-private-link-traffic off
CloudFormation
Para actualizar la configuración de seguridad

Actualice el recurso AWS::ElasticLoadBalancingV2::LoadBalancer.

Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-nlb
      Type: network
      Scheme: internal
      EnforceSecurityGroupInboundRulesOnPrivateLinkTraffic: off
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup

Monitoreo de grupos de seguridad del equilibrador de carga de red

Utilice las métricas de CloudWatch SecurityGroupBlockedFlowCount_Inbound y SecurityGroupBlockedFlowCount_Outbound para monitorear el número de flujos que bloquean los grupos de seguridad del equilibrador de carga de red. El tráfico bloqueado no se refleja en otras métricas. Para obtener más información, consulte Métricas de CloudWatch para el equilibrador de carga de red.

Utilice los registros del flujo de la VPC para monitorear el tráfico que aceptan o rechazan los grupos de seguridad del equilibrador de carga de red. Para obtener más información, consulte Registros de flujo de VPC en la Guía del usuario de Amazon VPC.