Optimizando Seguridad en AWS: Cómo Proteger Aplicaciones Web y Bases de Datos MySQL

Pregunta

Una empresa aloja una aplicación web popular que se conecta a una instancia de base de datos MySQL de Amazon RDS que se ejecuta en una subred privada de VPC predeterminada con la configuración de NACL creada por AWS como predeterminada.

Los servidores web deben ser accesibles solo para clientes en conexiones HTTPS, y la base de datos solo debe ser accesible para servidores web en una subred pública.

¿Qué solución cumpliría estos requisitos sin afectar a otras aplicaciones? (SELECCIONE DOS)

Respuestas

A. Cree una ACL de red en las subredes del servidor web, permita la entrada del puerto HTTPS 443 y especifique la fuente como 0.0.0.0/0.

B. Cree un grupo de seguridad de servidor web que permita el tráfico entrante del puerto HTTPS 443 desde cualquier lugar (0.0.0.0/0) y aplíquelo a los servidores web.

C. Cree un grupo de seguridad del servidor de la base de datos que permita la entrada del puerto 3306 de MySQL y especifique el origen como grupo de seguridad del servidor web.

D. Cree una ACL de red en la subred de la base de datos, permita la entrada del puerto 3306 de MySQL para los servidores web y deniegue todo el tráfico saliente.

E. Cree un grupo de seguridad del servidor de la base de datos que permita la entrada del puerto HTTPS 443 y especifique el origen como un grupo de seguridad del servidor web.

Respuesta Correcta

A.BCDE

Respuesta correcta - B y C.

Este tipo de configuración se explica en la documentación de AWS.

1) Para asegurarse de que el tráfico pueda fluir hacia su servidor web desde cualquier lugar con tráfico seguro, debe permitir la seguridad entrante en 443.

2) Y luego, debe asegurarse de que el tráfico pueda fluir desde el servidor web al servidor de la base de datos a través del grupo de seguridad de la base de datos.

Las siguientes instantáneas de la documentación de AWS muestran tablas de reglas para grupos de seguridad relacionados con los mismos requisitos que en la pregunta.

Para obtener más información sobre este escenario de caso de uso, visite la siguiente URL:

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html

Las opciones A y D son Respuestas no válidas.

Las ACL de red no tienen estado.

Por lo tanto, debemos establecer reglas para el tráfico entrante y saliente para las ACL de red.

La opción E tampoco es válida porque, para comunicarnos con los servidores MySQL, debemos permitir que el tráfico fluya a través del puerto 3306.

Nota: Las opciones correctas anteriores son la combinación de pasos necesarios para proteger sus servidores web y de base de datos.

Además, la empresa podrá implementar medidas de seguridad adicionales por su parte.