Unidad 2.6: Servicios de seguridad
Introducción
Imagínese que está construyendo una ciudad moderna. Necesita sistemas de seguridad, como semáforos, cámaras de vigilancia, puertas de acceso, para mantener todo funcionando de manera segura. Su entorno en la nube requiere capas de protección similares más allá de la computación y el almacenamiento básicos. Necesita firewalls para controlar quién puede acceder a sus recursos, escudos contra ataques a gran escala y herramientas para gestionar las credenciales y certificados que prueban la identidad en toda su infraestructura.
En esta unidad, explorará los servicios de seguridad de IONOS Cloud que protegen su red y gestionan las credenciales. Cubriremos la gestión de Firewall con Network Security Groups, la defensa contra ataques DDoS y el manejo centralizado de certificados SSL/TLS y claves SSH.
1. Servicios de seguridad de red
IONOS Cloud proporciona herramientas de seguridad que ayudan a controlar el acceso a la red y proteger contra amenazas. Piense en estas como las puertas de seguridad y sistemas de guardia para su infraestructura digital.
1.1 Network Security Groups (NSGs)
Network Security Groups son los bloques de construcción virtuales de Firewall de IONOS Cloud para un Centro de Datos Virtual (VDC). Actúan como administradores centralizados de políticas de Firewall que filtran y controlan el tráfico de entrada (ingress) y salida (egress) para los recursos que protegen. En lugar de administrar reglas de Firewall individuales para cada máquina virtual de forma individual, NSG se puede utilizar para aplicar reglas a un grupo de VM, lo que mejora la eficiencia al implementar muchas máquinas virtuales que tendrían un conjunto similar de requisitos de reglas de firewall.
Cómo funcionan los NSGs:
- Los NSGs se pueden adjuntar a tarjetas de interfaz de red (NIC) o máquinas virtuales (VM) completas
- Cuando un VM es miembro de un NSG, todos sus NIC heredan automáticamente las reglas del grupo
- Contienen un conjunto de reglas de seguridad basadas en direcciones IP de origen/destino, puertos y protocolos
- Cualquier tráfico que no esté explícitamente permitido por una regla se deniega automáticamente (enfoque de denegación predeterminada)
Tipos de NSG:
| Tipo | Propósito | Aplicación |
|---|---|---|
| NSG predeterminado | Creado solo si selecciona la opción al crear el VDC (casilla de verificación DCD o indicador API), no es automático para cada VDC | Una vez creado, se aplica a todas las nuevas VM en ese VDC a menos que especifique lo contrario, proporcionando protección de base |
| NSG personalizado | Creado para requisitos de seguridad específicos | Adjuntado a VM o NIC individuales para un control más preciso |
Cuándo usar Network Security Groups:
Debe usar NSGs siempre que necesite una administración de Firewall centralizada en todo su VDC. Son particularmente valiosos cuando desea controlar tanto el tráfico de entrada como de salida a nivel de VM o NIC, requiere un control de acceso preciso para cargas de trabajo específicas o necesita adaptar rápidamente la seguridad a medida que cambia su negocio o paisaje de amenazas. Los NSGs ayudan a evitar configuraciones de Firewall duplicadas al permitirle adjuntar la misma política de seguridad a múltiples recursos.
Beneficios de seguridad clave:
- Firewall virtual con estado que rastrea las conexiones y permite automáticamente el tráfico de retorno
- Administración de políticas centralizada en un solo lugar para todo un VDC
- Control preciso por recurso para la aplicación de reglas precisas
- Protección predeterminada con un esfuerzo mínimo para todas las nuevas VM
- Administración y cumplimiento simplificados con una auditoría más sencilla
1.2 DDoS Protect
La protección DDoS en IONOS Cloud es un servicio de defensa administrado que protege sus recursos contra ataques de denegación de servicio distribuidos. Cuando se detecta un ataque, el tráfico se redirige a la plataforma de filtrado y limpieza de IONOS. Los paquetes maliciosos se eliminan y solo el tráfico legítimo se reenvía al destino original, manteniendo sus aplicaciones disponibles incluso bajo un ataque pesado.
Alcance de la protección:
DDoS Protect defiende contra ataques de capa 3 y capa 4 (como inundaciones UDP, inundaciones SYN y otros ataques volumétricos y basados en protocolos) para cada recurso en todos los centros de datos de IONOS. Esta protección a nivel de red garantiza que su infraestructura permanezca accesible durante los ataques.
Paquetes disponibles:
| Paquete | Nivel de protección | Características |
|---|---|---|
| DDoS Protect Básico | Automático, siempre activo | Habilitado para todos los usuarios, no se requiere configuración. Proporciona detección, contención automática y filtrado de tráfico para ataques volumétricos y de protocolo comunes |
| DDoS Protect Avanzado | Mejorado, proactivo | Incluye todo en Básico más soporte de expertos 24/7, monitoreo proactivo y filtrado o diagnóstico de ataques específicos de IP a demanda |
El servicio es nativo de la nube y siempre está activo, filtrando el tráfico malicioso a nivel de red sin requerir intervención manual. Esto garantiza la disponibilidad continua de sus cargas de trabajo durante los ataques DDoS.
2. Administración de credenciales y certificados
La administración de credenciales de acceso y certificados de seguridad en recursos de nube puede volverse compleja a medida que crece su infraestructura. IONOS Cloud proporciona servicios dedicados para simplificar estas tareas de seguridad críticas.
2.1 Certificate Manager
Certificate Manager es el servicio dedicado de IONOS para manejar certificados SSL/TLS en sus recursos de nube. Simplifica todo el ciclo de vida de los certificados (obtención, instalación, renovación y revocación) para que el tráfico web y los datos intercambiados entre los usuarios y sus servidores permanezcan cifrados y confiables.
Qué hace Certificate Manager:
- Importa y administra certificados autogestionados (incluyendo la cadena de certificados y la clave privada) para usar con Application Load Balancers (ALBs) cuando se termina el tráfico HTTPS.
- Proporciona certificados renovables automáticamente a través de proveedores ACME como Let's Encrypt, DigiCert, Sectigo, GlobalSign y ZeroSSL.
- Los certificados renovados automáticamente se pueden utilizar con el CDN; el Application Load Balancer requiere un certificado importado en lugar de uno renovado automáticamente.
- Sirve como el centro central para provisionar y mantener de manera segura los certificados TLS.
Por qué usar Certificate Manager:
En lugar de generar, rastrear y renovar certificados manualmente en varios servidores, Certificate Manager centraliza este proceso. Evita certificados caducados que rompen las conexiones HTTPS, reduce el esfuerzo manual en la renovación de certificados y garantiza la seguridad coherente en todos sus servicios web. El servicio está disponible de forma general, independiente de la ubicación del centro de datos, y funciona con los recursos Public Cloud de IONOS.
2.2 SSH Key Manager
La administración de claves SSH en IONOS Cloud es el manejo centralizado de claves públicas SSH utilizadas para conceder un acceso seguro y sin contraseña a máquinas virtuales y otros recursos de cómputo basados en Linux.
Cómo funciona SSH Key Manager:
El Data Center Designer proporciona una vista de Claves SSH donde puede almacenar hasta 100 claves públicas SSH. Esto elimina la necesidad de copiar y pegar una clave cada vez que configure el acceso a un nuevo VM. El servicio admite tanto claves guardadas como claves SSH ad-hoc para servidores Dedicated Core, servidores vCPU y Cubes.
Acciones de ciclo de vida de la clave:
- Agregar claves pegando texto o subiendo un archivo de clave
- Editar claves existentes para actualizar descripciones
- Establecer una clave predeterminada que se selecciona previamente al configurar el acceso SSH
- Eliminar claves cuando ya no se necesitan
Por qué la administración de claves SSH es importante:
Las claves SSH reemplazan las contraseñas con una autenticación criptográfica más fuerte para inicios de sesión remotos. Almacenar claves de manera centralizada simplifica la provisión de VM. Cuando crea un Linux VM, puede seleccionar cualquier clave almacenada desde la configuración de Claves SSH y la clave se inyecta automáticamente en la imagen del VM, permitiendo el acceso SSH inmediato sin la distribución manual de claves.
Flujo de trabajo típico:
- Generar un par de claves localmente utilizando herramientas como SSH-keygen
- Agregar la clave pública al DCD pegándola o subiendo el archivo
- Opcionalmente, establecerla como predeterminada para una selección más fácil
- Asociar la clave con un VM durante su creación
- Conectar al VM utilizando la clave privada correspondiente
Casos de uso comunes
Escenarios del mundo real donde se utilizan estos servicios de seguridad:
- Aplicación de varios niveles con Network Security Groups: Una empresa de software ejecuta una aplicación de tres niveles (capas web, aplicación y base de datos) en IONOS Cloud. Crean NSG personalizados para cada nivel como se discutió en la Sección 1.1. El NSG de la capa web permite conexiones entrantes HTTPS (puerto 443) desde cualquier lugar, pero solo permite conexiones salientes a la capa de aplicación. El NSG de la capa de aplicación acepta tráfico solo desde la capa web y solo puede conectarse a la capa de base de datos. El NSG de la capa de base de datos acepta conexiones solo desde la capa de aplicación. Este enfoque de seguridad en capas, utilizando la administración centralizada Firewall descrita en la Sección 1.1, garantiza que cada nivel esté aislado y protegido según el principio de mínimo privilegio.
- Aplicación web de acceso público con protección DDoS y TLS: Un minorista en línea ejecuta una tienda en línea en IONOS Cloud. DDoS Protect Básico (Sección 1.2) protege automáticamente la aplicación de ataques volumétricos sin necesidad de configuración. El equipo utiliza Certificate Manager (Sección 2.1) para importar un certificado TLS para su Aplicación Load Balancer, ya que el ALB requiere un certificado importado en lugar de uno renovado automáticamente, lo que garantiza que HTTPS esté siempre activo.
- Provisión de equipo VM con claves SSH centralizadas: Un equipo de desarrollo de quince ingenieros provisiona y desprovisiona frecuentemente máquinas virtuales Linux para pruebas. En lugar de distribuir claves SSH manualmente, el líder del equipo carga la clave pública de cada ingeniero en el SSH Key Manager (Sección 2.2) y establece una clave predeterminada para entornos compartidos. Cuando cualquier miembro del equipo crea un nuevo VM, simplemente selecciona la clave adecuada de la lista almacenada, y el acceso SSH está listo inmediatamente después de la provisión.
Resumen
Esta unidad ha explorado los servicios de seguridad de IONOS Cloud que protegen su red, defienden contra ataques y simplifican la gestión de credenciales. Network Security Groups proporcionan una gestión de Firewall centralizada y con estado en sus centros de datos virtuales, con protección predeterminada para todas las máquinas virtuales y políticas personalizadas para cargas de trabajo específicas. DDoS Protect protege contra ataques de red con filtrado de tráfico automático y soporte avanzado opcional.
Certificate Manager simplifica la gestión del ciclo de vida de certificados SSL/TLS, mientras que SSH Key Manager centraliza el acceso seguro a las máquinas virtuales Linux. Juntos, estos servicios forman la base de seguridad que protege los recursos de cómputo, almacenamiento y redes que exploró en unidades anteriores.
Puntos clave:
- Network Security Groups actúan como administradores de políticas de Firewall centralizados que filtran el tráfico a nivel de VM y NIC con seguridad de denegación predeterminada
- DDoS Protect proporciona defensa siempre activa contra ataques de capa 3 y capa 4 con filtrado de tráfico automático
- Certificate Manager y SSH Key Manager centralizan la gestión de credenciales de seguridad en sus recursos en la nube
Terminología importante:
- Grupo de seguridad de red (NSG): Firewall virtual que filtra el tráfico de entrada y salida para máquinas virtuales y NIC según reglas de seguridad administradas centralmente
- DDoS Protect: Servicio de defensa administrado que redirige el tráfico de ataques a plataformas de filtrado mientras permite que el tráfico legítimo llegue a los recursos
- Certificate Manager: Servicio que administra el ciclo de vida de certificados SSL/TLS (obtención, instalación, renovación, revocación) para aplicaciones web
Próximos pasos
Continúe aprendiendo: Unidad 2.7: Servicios de inteligencia artificial y contenedores
Temas relacionados:
- Unidad 2.1: Componentes arquitectónicos básicos - Comprensión de los centros de datos virtuales y los fundamentos de la red
- Unidad 3.2: Administración de identidad y acceso - Administración del acceso y permisos de los usuarios
- Unidad 3.5: Seguridad y cumplimiento normativo - Responsabilidad compartida y mejores prácticas de seguridad