UNIVERSIDAD UTP

SEGURIDAD INFORMATICA
LABORATORIO 6

2022-01-01

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 Tabla de contenidos

OBJETIVO DEL LABORATORIO. ......................................................................................................................... 3

Planteamiento del problema ....................................................................................................................................... 3

Información del documento

Nombre del Seguridad Informática
proyecto
Preparado Ing. Giovanni Barrero Versión del documento 0.1
por No:
Título: Manual Laboratorio 6. Fecha de la versión del 01/01/2022
documento:
Revisado Fecha de revisión:
por:

Lista de distribución
De Fecha Teléfono/Fax/Email

Para Acción* Fecha Teléfono/Fax/Email

vencimient
o

* Acciones: Aprobar, Revisar, Informar, Archivar, Acción Requerida, Atendido Reunión,

Otro (por favor especifique)

Historia de versión del documento

Fecha de
Nro. Versión Revisado
versión por Descripción Nombre de archivo

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

 Fecha de
Nro. Versión Revisado
versión por Descripción Nombre de archivo

OBJETIVO DEL LABORATORIO.

El objetivo de este laboratorio es el de desarrollar habilidades en el análisis de requerimientos

de seguridad y diseño de arquitectura de sistemas con componentes de seguridad para
soluciones cloud, se estudiará la arquitectura de seguridad de AWS y sus componentes para
crear diseños aplicados a las empresas caso del trabajo final.

Planteamiento del problema

Se requiere un diseño de una arquitectura solución cloud para una empresa que tendrá un
grupo de servidores que ejecutan las aplicaciones principales del negocio , el diseño debe
contemplar una nube virtual privada que tenga dos subredes privadas en diferentes zonas de
disponibilidad y una subred pública con una gateway de Internet asociada.

Se desea implementa un clúster de aplicaciones administrativas que incluya los siguientes

componentes:

• En la subred pública, un elastic load balancer público de Deep Security.

• En la subred pública, instancias de Deep Security Manager.
• En las subredes privadas, un base de datos de Deep Security con alta disponibilidad y
su archivo espejo.

La arquitectura que se diseñe debe ser compatible con las prácticas recomendadas de AWS
para lograr disponibilidad alta y seguridad:

• Debe tener un servidor de base de datos con un servidor espejo.

• Los grupos de seguridad se configuran para permitir únicamente el tráfico que se
necesita.

Se debe registrar para usar la herramienta en: https://online.visual-paradigm.com/es/

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Amazon Web Services (AWS) es la plataforma en la nube más adoptada y completa en el
mundo, que ofrece más de 200 servicios integrales de centros de datos a nivel global. Millones
de clientes, incluso las empresas emergentes que crecen más rápido, las compañías más
grandes y los organismos gubernamentales líderes, están usando AWS para reducir los costos,
aumentar su agilidad e innovar de forma más rápida.

Se agrega una Internet Gateway (IGW) , es una conexión lógica entre una VPC de Amazon e
Internet. No es un dispositivo físico. Solo se puede asociar uno a cada VPC. No limita el ancho
de banda de la conectividad a Internet. (La única limitación en el ancho de banda es el tamaño de
la instancia de Amazon EC2 y se aplica a todo el tráfico, interno a la VPC y hacia Internet).

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Se agrega una Amazon Virtual Private Cloud (Amazon VPC) , brinda control total sobre el
entorno de redes virtuales, incluidas la ubicación de los recursos, la conectividad y la seguridad.
Se comienza configurando la VPC en la consola de los servicios de AWS. Luego, se agréga
recursos, como instancias de Amazon Elastic Compute Cloud (EC2) y Amazon Relational
Database Service (RDS). Por último, se define cómo se comunican sus VPC entre sí, entre
cuentas, zonas de disponibilidad o regiones de AWS.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Se agregan 2 zonas de disponibilidad , las zonas de disponibilidad son ubicaciones distintas
dentro de una región de AWS que están diseñadas para estar aisladas de fallas en otras zonas de
disponibilidad. Proporcionan conectividad de red económica y de baja latencia a otras zonas de
disponibilidad en la misma región de AWS. Cada región es completamente independiente.

Se agregan 3 nubes privadas virtuales (VPC) , es una red virtual dedicada a su cuenta de AWS.
Está aislada lógicamente de otras redes virtuales en la nube de AWS. Puede lanzar sus recursos
de AWS, como las instancias de Amazon EC2, en su VPC.

Cuando se crea una VPC, se debe especificar un rango de direcciones IPv4 para la VPC en forma
de bloque de enrutamiento entre dominios sin clase (CIDR); por ejemplo, 10.0.0.0/16. Este es el
bloque CIDR principal para su VPC. Para obtener más información sobre la notación CIDR,
consulte RFC 4632.

Una VPC abarca todas las zonas de disponibilidad de la región.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Se agrega un Elastic Load Balancing , admite los siguientes tipos de balanceadores de carga:
balanceadores de carga de aplicaciones, balanceadores de carga de red y balanceadores de carga
clásicos. Los servicios de Amazon ECS pueden utilizar estos tipos de equilibradores de carga.
Los balanceadores de carga de aplicaciones se utilizan para enrutar el tráfico HTTP/HTTPS (o
Capa 7). Los balanceadores de carga de red y los balanceadores de carga clásicos se utilizan para
enrutar el tráfico TCP (o capa 4).

Tipos de balanceadores de carga

• Application Load Balancer

• Network Load Balancer
• Classic Load Balancer
• Gateway Load Balancers

Equilibrador de carga de aplicaciones

Un Application Load Balancer toma decisiones de enrutamiento en la capa de la aplicación

(HTTP/HTTPS), admite el enrutamiento basado en rutas y puede enrutar solicitudes a uno o más
puertos en cada instancia de contenedor en su clúster. Application Load Balancers admite la
asignación dinámica de puertos de host. Por ejemplo, si la definición de contenedor de su tarea
especifica el puerto 80 para un puerto de contenedor NGINX y el puerto 0 para el puerto de host,
entonces el puerto de host se elige dinámicamente del rango de puertos efímeros de la instancia

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

de contenedor (como 32768 a 61000 en la última AMI optimizada para Amazon ECS). Cuando
se inicia la tarea, el contenedor NGINX se registra con Application Load Balancer como una
combinación de ID de instancia y puerto, y el tráfico se distribuye al ID de instancia y al puerto
correspondiente a ese contenedor. Este mapeo dinámico le permite tener múltiples tareas desde
un solo servicio en la misma instancia de contenedor. Para obtener más información, consulte la
Guía del usuario de Application Load Balancers.

Equilibrador de carga de red

Un Network Load Balancer toma decisiones de enrutamiento en la capa de transporte

(TCP/SSL). Puede manejar millones de solicitudes por segundo. Una vez que el balanceador de
carga recibe una conexión, selecciona un destino del grupo de destino para la regla
predeterminada mediante un algoritmo de enrutamiento hash de flujo. Intenta abrir una conexión
TCP con el destino seleccionado en el puerto especificado en la configuración de escucha.
Reenvía la solicitud sin modificar los encabezados. Los balanceadores de carga de red admiten la
asignación dinámica de puertos de host. Por ejemplo, si la definición de contenedor de su tarea
especifica el puerto 80 para un puerto de contenedor NGINX y el puerto 0 para el puerto de host,
entonces el puerto de host se elige dinámicamente del rango de puertos efímeros de la instancia
de contenedor (como 32768 a 61000 en la última AMI optimizada para Amazon ECS). Cuando
se inicia la tarea, el contenedor NGINX se registra con Network Load Balancer como una

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

combinación de ID de instancia y puerto, y el tráfico se distribuye al ID de instancia y al puerto
correspondiente a ese contenedor. Este mapeo dinámico le permite tener múltiples tareas desde
un solo servicio en la misma instancia de contenedor. Para obtener más información, consulte la
Guía del usuario de Network Load Balancers.

Equilibrador de carga clásico

Un Classic Load Balancer toma decisiones de enrutamiento en la capa de transporte (TCP/SSL)

o en la capa de aplicación (HTTP/HTTPS). Los balanceadores de carga clásicos actualmente
requieren una relación fija entre el puerto del balanceador de carga y el puerto de la instancia del
contenedor. Por ejemplo, es posible asignar el puerto 80 del balanceador de carga al puerto 3030
de la instancia del contenedor y el puerto 4040 del balanceador de carga al puerto 4040 de la
instancia del contenedor. Sin embargo, no es posible asignar el puerto 80 del balanceador de
carga al puerto 3030 en un instancia de contenedor y el puerto 4040 en otra instancia de
contenedor. Este mapeo estático requiere que su clúster tenga al menos tantas instancias de
contenedor como el conteo deseado de un solo servicio que usa un Classic Load Balancer. Para
obtener más información, consulte la Guía del usuario de Classic Load Balancers.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Equilibradores de carga de puerta de enlace

Los Gateway Load Balancers le permiten implementar, escalar y administrar dispositivos

virtuales, como firewalls, sistemas de detección y prevención de intrusiones y sistemas de
inspección profunda de paquetes. Combina una puerta de enlace de red transparente (es decir, un
único punto de entrada y salida para todo el tráfico) y distribuye el tráfico mientras escala sus
dispositivos virtuales con la demanda. Un Gateway Load Balancer opera en la tercera capa del
modelo de interconexión de sistemas abiertos (OSI), la capa de red. Escucha todos los paquetes
IP en todos los puertos y reenvía el tráfico al grupo de destino que se especifica en la regla de
escucha. Mantiene la permanencia de los flujos en un dispositivo de destino específico utilizando
5 tuplas (para flujos TCP/UDP) o 3 tuplas (para flujos que no son TCP/UDP). Gateway Load
Balancer y sus instancias de dispositivos virtuales registrados intercambian tráfico de
aplicaciones mediante el protocolo GENEVE en el puerto 6081. Admite un tamaño máximo de
unidad de transmisión (MTU) de 8500 bytes. Los Gateway Load Balancers usan puntos finales
de Gateway Load Balancer para intercambiar tráfico de forma segura a través de los límites de
VPC. Un punto de enlace de Gateway Load Balancer es un punto de enlace de la VPC que
proporciona conectividad privada entre los dispositivos virtuales en la VPC del proveedor de
servicios y los servidores de aplicaciones en la VPC del consumidor de servicios. El Gateway
Load Balancer se implementa en la misma VPC que los dispositivos virtuales. Registre los
dispositivos virtuales con un grupo objetivo para Gateway Load Balancer. Para obtener más
información, consulte la Guía del usuario de Gateway Load Balancers.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Se agregan 2 Amazon Elastic Compute Cloud (Amazon EC2) , ofrece la plataforma de
computación más amplia y profunda, con más de 500 instancias y la posibilidad de elegir el
procesador, almacenamiento, redes, sistema operativo y modelo de compra más reciente para que
pueda a ajustarla al máximo a las necesidades de su carga de trabajo. Somos el primer proveedor
de nube destacado que admite procesadores Intel, AMD y ARM, la única nube con instancias de
Mac de EC2 bajo demanda y la única nube con redes Ethernet de 400 Gbps. Ofrecemos el mejor
rendimiento por precio para la formación con machine learning, así como el menor costo por
instancias de inferencia en la nube. Se ejecutan más cargas de trabajo de SAP, computación de
alto rendimiento (HPC), ML y Windows en AWS que en cualquier otra nube.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Se agrega 2 bases de datos , Amazon Relational Database Service (Amazon RDS) permite
configurar, operar y escalar una base de datos relacional en la nube sin complicaciones.
Proporciona capacidad rentable y redimensionable mientras que automatiza las tareas
administrativas que llevan mucho tiempo, como el aprovisionamiento de hardware, la
configuración de bases de datos, la aplicación de parches y la creación de copias de seguridad.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]

Lo libera de estas tareas para que pueda concentrarse en sus aplicaciones y darles el rendimiento
rápido, la alta disponibilidad, la seguridad y la compatibilidad que necesitan.

Msc.Ing.Giovanni Barrero Ortiz - [email protected]