10 min de lectura

Objetivos de aprendizaje

Al final de este módulo, podrás:

  • Explicar qué son los Network Security Groups y cómo proporcionan protección de Firewall centralizada en sus centros de datos virtuales
  • Describir el propósito de los Certificate Manager y los SSH Key Manager en la seguridad de los recursos en la nube
  • Identificar cuándo utilizar DDoS Protect Básico versus Avanzado para proteger sus aplicaciones

Unidad 2.6: Servicios de seguridad

Introducción

Imagínese que está construyendo una ciudad moderna. Necesita sistemas de seguridad, como semáforos, cámaras de vigilancia, puertas de acceso, para mantener todo funcionando de manera segura. Su entorno en la nube requiere capas de protección similares más allá de la computación y el almacenamiento básicos. Necesita firewalls para controlar quién puede acceder a sus recursos, escudos contra ataques a gran escala y herramientas para gestionar las credenciales y certificados que prueban la identidad en toda su infraestructura.

En esta unidad, explorará los servicios de seguridad de IONOS Cloud que protegen su red y gestionan las credenciales. Cubriremos la gestión de Firewall con Network Security Groups, la defensa contra ataques DDoS y el manejo centralizado de certificados SSL/TLS y claves SSH.

1. Servicios de seguridad de red

IONOS Cloud proporciona herramientas de seguridad que ayudan a controlar el acceso a la red y proteger contra amenazas. Piense en estas como las puertas de seguridad y sistemas de guardia para su infraestructura digital.

1.1 Network Security Groups (NSGs)

Network Security Groups son los bloques de construcción virtuales de Firewall de IONOS Cloud para un Centro de Datos Virtual (VDC). Actúan como administradores centralizados de políticas de Firewall que filtran y controlan el tráfico de entrada (ingress) y salida (egress) para los recursos que protegen. En lugar de administrar reglas de Firewall individuales para cada máquina virtual de forma individual, NSG se puede utilizar para aplicar reglas a un grupo de VM, lo que mejora la eficiencia al implementar muchas máquinas virtuales que tendrían un conjunto similar de requisitos de reglas de firewall.

Cómo funcionan los NSGs:

  • Los NSGs se pueden adjuntar a tarjetas de interfaz de red (NIC) o máquinas virtuales (VM) completas
  • Cuando un VM es miembro de un NSG, todos sus NIC heredan automáticamente las reglas del grupo
  • Contienen un conjunto de reglas de seguridad basadas en direcciones IP de origen/destino, puertos y protocolos
  • Cualquier tráfico que no esté explícitamente permitido por una regla se deniega automáticamente (enfoque de denegación predeterminada)

Tipos de NSG:

Tipo Propósito Aplicación
NSG predeterminado Creado solo si selecciona la opción al crear el VDC (casilla de verificación DCD o indicador API), no es automático para cada VDC Una vez creado, se aplica a todas las nuevas VM en ese VDC a menos que especifique lo contrario, proporcionando protección de base
NSG personalizado Creado para requisitos de seguridad específicos Adjuntado a VM o NIC individuales para un control más preciso

Cuándo usar Network Security Groups:

Debe usar NSGs siempre que necesite una administración de Firewall centralizada en todo su VDC. Son particularmente valiosos cuando desea controlar tanto el tráfico de entrada como de salida a nivel de VM o NIC, requiere un control de acceso preciso para cargas de trabajo específicas o necesita adaptar rápidamente la seguridad a medida que cambia su negocio o paisaje de amenazas. Los NSGs ayudan a evitar configuraciones de Firewall duplicadas al permitirle adjuntar la misma política de seguridad a múltiples recursos.

Beneficios de seguridad clave:

  • Firewall virtual con estado que rastrea las conexiones y permite automáticamente el tráfico de retorno
  • Administración de políticas centralizada en un solo lugar para todo un VDC
  • Control preciso por recurso para la aplicación de reglas precisas
  • Protección predeterminada con un esfuerzo mínimo para todas las nuevas VM
  • Administración y cumplimiento simplificados con una auditoría más sencilla

1.2 DDoS Protect

La protección DDoS en IONOS Cloud es un servicio de defensa administrado que protege sus recursos contra ataques de denegación de servicio distribuidos. Cuando se detecta un ataque, el tráfico se redirige a la plataforma de filtrado y limpieza de IONOS. Los paquetes maliciosos se eliminan y solo el tráfico legítimo se reenvía al destino original, manteniendo sus aplicaciones disponibles incluso bajo un ataque pesado.

Alcance de la protección:

DDoS Protect defiende contra ataques de capa 3 y capa 4 (como inundaciones UDP, inundaciones SYN y otros ataques volumétricos y basados en protocolos) para cada recurso en todos los centros de datos de IONOS. Esta protección a nivel de red garantiza que su infraestructura permanezca accesible durante los ataques.

Paquetes disponibles:

Paquete Nivel de protección Características
DDoS Protect Básico Automático, siempre activo Habilitado para todos los usuarios, no se requiere configuración. Proporciona detección, contención automática y filtrado de tráfico para ataques volumétricos y de protocolo comunes
DDoS Protect Avanzado Mejorado, proactivo Incluye todo en Básico más soporte de expertos 24/7, monitoreo proactivo y filtrado o diagnóstico de ataques específicos de IP a demanda

El servicio es nativo de la nube y siempre está activo, filtrando el tráfico malicioso a nivel de red sin requerir intervención manual. Esto garantiza la disponibilidad continua de sus cargas de trabajo durante los ataques DDoS.

2. Administración de credenciales y certificados

La administración de credenciales de acceso y certificados de seguridad en recursos de nube puede volverse compleja a medida que crece su infraestructura. IONOS Cloud proporciona servicios dedicados para simplificar estas tareas de seguridad críticas.

2.1 Certificate Manager

Certificate Manager es el servicio dedicado de IONOS para manejar certificados SSL/TLS en sus recursos de nube. Simplifica todo el ciclo de vida de los certificados (obtención, instalación, renovación y revocación) para que el tráfico web y los datos intercambiados entre los usuarios y sus servidores permanezcan cifrados y confiables.

Qué hace Certificate Manager:

  • Importa y administra certificados autogestionados (incluyendo la cadena de certificados y la clave privada) para usar con Application Load Balancers (ALBs) cuando se termina el tráfico HTTPS.
  • Proporciona certificados renovables automáticamente a través de proveedores ACME como Let's Encrypt, DigiCert, Sectigo, GlobalSign y ZeroSSL.
  • Los certificados renovados automáticamente se pueden utilizar con el CDN; el Application Load Balancer requiere un certificado importado en lugar de uno renovado automáticamente.
  • Sirve como el centro central para provisionar y mantener de manera segura los certificados TLS.

Por qué usar Certificate Manager:

En lugar de generar, rastrear y renovar certificados manualmente en varios servidores, Certificate Manager centraliza este proceso. Evita certificados caducados que rompen las conexiones HTTPS, reduce el esfuerzo manual en la renovación de certificados y garantiza la seguridad coherente en todos sus servicios web. El servicio está disponible de forma general, independiente de la ubicación del centro de datos, y funciona con los recursos Public Cloud de IONOS.

2.2 SSH Key Manager

La administración de claves SSH en IONOS Cloud es el manejo centralizado de claves públicas SSH utilizadas para conceder un acceso seguro y sin contraseña a máquinas virtuales y otros recursos de cómputo basados en Linux.

Cómo funciona SSH Key Manager:

El Data Center Designer proporciona una vista de Claves SSH donde puede almacenar hasta 100 claves públicas SSH. Esto elimina la necesidad de copiar y pegar una clave cada vez que configure el acceso a un nuevo VM. El servicio admite tanto claves guardadas como claves SSH ad-hoc para servidores Dedicated Core, servidores vCPU y Cubes.

Acciones de ciclo de vida de la clave:

  • Agregar claves pegando texto o subiendo un archivo de clave
  • Editar claves existentes para actualizar descripciones
  • Establecer una clave predeterminada que se selecciona previamente al configurar el acceso SSH
  • Eliminar claves cuando ya no se necesitan

Por qué la administración de claves SSH es importante:

Las claves SSH reemplazan las contraseñas con una autenticación criptográfica más fuerte para inicios de sesión remotos. Almacenar claves de manera centralizada simplifica la provisión de VM. Cuando crea un Linux VM, puede seleccionar cualquier clave almacenada desde la configuración de Claves SSH y la clave se inyecta automáticamente en la imagen del VM, permitiendo el acceso SSH inmediato sin la distribución manual de claves.

Flujo de trabajo típico:

  1. Generar un par de claves localmente utilizando herramientas como SSH-keygen
  2. Agregar la clave pública al DCD pegándola o subiendo el archivo
  3. Opcionalmente, establecerla como predeterminada para una selección más fácil
  4. Asociar la clave con un VM durante su creación
  5. Conectar al VM utilizando la clave privada correspondiente

Casos de uso comunes

Escenarios del mundo real donde se utilizan estos servicios de seguridad:

  1. Aplicación de varios niveles con Network Security Groups: Una empresa de software ejecuta una aplicación de tres niveles (capas web, aplicación y base de datos) en IONOS Cloud. Crean NSG personalizados para cada nivel como se discutió en la Sección 1.1. El NSG de la capa web permite conexiones entrantes HTTPS (puerto 443) desde cualquier lugar, pero solo permite conexiones salientes a la capa de aplicación. El NSG de la capa de aplicación acepta tráfico solo desde la capa web y solo puede conectarse a la capa de base de datos. El NSG de la capa de base de datos acepta conexiones solo desde la capa de aplicación. Este enfoque de seguridad en capas, utilizando la administración centralizada Firewall descrita en la Sección 1.1, garantiza que cada nivel esté aislado y protegido según el principio de mínimo privilegio.
  2. Aplicación web de acceso público con protección DDoS y TLS: Un minorista en línea ejecuta una tienda en línea en IONOS Cloud. DDoS Protect Básico (Sección 1.2) protege automáticamente la aplicación de ataques volumétricos sin necesidad de configuración. El equipo utiliza Certificate Manager (Sección 2.1) para importar un certificado TLS para su Aplicación Load Balancer, ya que el ALB requiere un certificado importado en lugar de uno renovado automáticamente, lo que garantiza que HTTPS esté siempre activo.
  3. Provisión de equipo VM con claves SSH centralizadas: Un equipo de desarrollo de quince ingenieros provisiona y desprovisiona frecuentemente máquinas virtuales Linux para pruebas. En lugar de distribuir claves SSH manualmente, el líder del equipo carga la clave pública de cada ingeniero en el SSH Key Manager (Sección 2.2) y establece una clave predeterminada para entornos compartidos. Cuando cualquier miembro del equipo crea un nuevo VM, simplemente selecciona la clave adecuada de la lista almacenada, y el acceso SSH está listo inmediatamente después de la provisión.

Resumen

Esta unidad ha explorado los servicios de seguridad de IONOS Cloud que protegen su red, defienden contra ataques y simplifican la gestión de credenciales. Network Security Groups proporcionan una gestión de Firewall centralizada y con estado en sus centros de datos virtuales, con protección predeterminada para todas las máquinas virtuales y políticas personalizadas para cargas de trabajo específicas. DDoS Protect protege contra ataques de red con filtrado de tráfico automático y soporte avanzado opcional.

Certificate Manager simplifica la gestión del ciclo de vida de certificados SSL/TLS, mientras que SSH Key Manager centraliza el acceso seguro a las máquinas virtuales Linux. Juntos, estos servicios forman la base de seguridad que protege los recursos de cómputo, almacenamiento y redes que exploró en unidades anteriores.

Puntos clave:

  • Network Security Groups actúan como administradores de políticas de Firewall centralizados que filtran el tráfico a nivel de VM y NIC con seguridad de denegación predeterminada
  • DDoS Protect proporciona defensa siempre activa contra ataques de capa 3 y capa 4 con filtrado de tráfico automático
  • Certificate Manager y SSH Key Manager centralizan la gestión de credenciales de seguridad en sus recursos en la nube

Terminología importante:

  • Grupo de seguridad de red (NSG): Firewall virtual que filtra el tráfico de entrada y salida para máquinas virtuales y NIC según reglas de seguridad administradas centralmente
  • DDoS Protect: Servicio de defensa administrado que redirige el tráfico de ataques a plataformas de filtrado mientras permite que el tráfico legítimo llegue a los recursos
  • Certificate Manager: Servicio que administra el ciclo de vida de certificados SSL/TLS (obtención, instalación, renovación, revocación) para aplicaciones web

Próximos pasos

Continúe aprendiendo: Unidad 2.7: Servicios de inteligencia artificial y contenedores

Temas relacionados: