SUBMENÚ

Amazon VPC crea su red virtual personalizada a través de AWS

Amazon VPC (Virtual Private Cloud) es la opción para crear redes virtuales privadas en una sección aislada de Amazon Web Services. Cada vez es más común que empresas decidan adoptar redes privadas virtuales en la nube donde almacenar y gestionar datos y aplicaciones de carácter crítico. Con Amazon VPC podrá crear una red a la que sólo usted tendrá acceso. Además, será completamente configurable: IP, puerta de enlace, subredes, etc.; permitiendo un control completo sobre la información que se gestiona dentro. Pero, ¿para qué sirven cada uno de los elementos de Amazon VPC? ¿Qué otras aplicaciones de AWS pueden utilizarse dentro de esta red? ¿Qué opciones ofrece AWS para aumentar la seguridad?

Elementos de Amazon VPC

Una red virtual en la nube creada en Amazon VPC tiene la particularidad de estar aislada del resto de redes virtuales que hay en AWS. Se pueden utilizar los recursos de AWS dentro de la red de Amazon VPC y ahí crear instancias de Amazon EC2, por ejemplo, para implantar una aplicación financiera que maneje información delicada y así asegurar la privacidad de los datos. Esto se consigue mediante la configuración de los elementos propios de la red como el rango de IP, las subredes, las tablas de enrutado o las puertas de enlace a internet.

  • Subred: es la forma que Amazon VPC tiene para crear particiones de una misma red privada. Esta subred actúa como una red por sí misma, con su propia tabla de enrutado para la gestión del tráfico de las instancias dentro de la propia subred.
  • Tabla de enrutado: se utilizan para redireccionar el tráfico dentro de la red de forma correcta. Una misma tabla de enrutado puede tener varias subredes asociadas pero una subred sólo puede tener una tabla de enrutada asociada al mismo tiempo.
    • amazon vpc red corporativa
  • Rango de IP: las direcciones IP privadas que Amazon VPC proporciona no son accesibles desde Internet, pero pueden utilizarse para establecer comunicaciones entre instancias dentro de una misma red privada. Las direcciones IP públicas necesitan establecer primero contacto con una puerta de enlace para que puedan ser accedidas desde equipos conectados a Internet.
  • Puerta de enlace a internet: la herramienta necesaria para que las instancias dentro de una red puedan comunicarse con equipos conectados a Internet. Por otro lado, realiza NAT (network address translation) para aquellas instancias a las que se les haya asignado una IP pública. Además, también puede crear una puerta de enlace privada virtual para que la red corporativa de su empresa pueda acceder a los recursos dentro de Amazon VPC.

Gracias a estos elementos de configuración de Amazon VPC, se pueden crear redes virtuales accesibles sólo desde su empresa. Sin embargo, no todas las empresas pueden necesitar crear una red virtual privada para proteger correctamente sus datos. De hecho, para algunas empresas puede ser una inversión demasiado costosa, teniendo en cuenta alternativas ya existentes para la gestión de la privacidad y la seguridad de los datos internos. En la Guía de Cloud Computing puede encontrar las pautas para saber si su empresa debe optar por una red privada virtual para proteger sus datos internos.

Amazon VPC y otros servicios de AWS

Amazon VPC puede integrarse o conectarse con otros servicios de AWS. Como ya se ha mencionado, una de las opciones más comunes es utilizar instancias de Amazon EC2 en la red virtual para separarlas de las redes públicas. Sin embargo, servicios como Amazon RDS, Amazon Elasticache, Amazon RedShift o Amazon Elastic Load Balancing se aprovisionan con redes IP dentro de la red privada virtual.

Otras herramientas de AWS, como Amazon S3 o Amazon DynamoDB, permiten el acceso a los mismos través de la puerta de enlace de internet, las instancias NAT o la puerta de enlace privada virtual, de forma que pueda conectar los datos de estas herramientas con las instancias dentro de la red privada.

Herramientas para la seguridad de AWS

Amazon VPC puede hacer uso de la herramienta de seguridad Amazon Identity and Access Management (IAM) para restringir el acceso a otras herramientas de AWS como Amazon EC2 o Amazon S3 y permitir sólo aquellas solicitudes que provengan de su red privada. También se puede limitar el acceso a las colas de Amazon SQS sólo a aquellas IP asociadas a la red de Amazon VPC. De esta forma, las otras herramientas de AWS tendrán unas directrices de acceso restringidas que podrán limitarse a las conexiones desde dentro de la propia red virtual. Si a esto se une la conexión desde su red empresarial, Amazon VPC puede soportar una infraestructura completamente privada con acceso a todas las herramientas de Amazon Web Services que su empresa utilice.

Sin embargo, una infraestructura demasiado compleja puede provocar que sus usuarios no sean capaces de utilizar el sistema de forma correcta, debido a la gran cantidad de pasos o de conexiones entre aplicaciones y herramientas. Es recomendable realizar un estudio previo de la estructura de la red virtual para evitar conexiones redundantes que acaben afectando al rendimiento o a la seguridad del propio sistema.

Límites de Amazon VPC

Amazon VPC establece determinados límites para la creación y mantenimiento de redes virtuales. Algunos ejemplos de los límites de Amazon VPC son:

  • Máximo 200 subredes por entorno de Amazon VPC.
  • Máximo 5 redes privadas por región de AWS.
  • Máximo 5 puertas de enlace a internet por región de AWS.

Estos límites pueden aumentarse si se contacta con el departamento de atención al cliente de Amazon Web Services. No obstante, es posible que se apliquen cargos adicionales al aumentar estos límites, por lo que es necesario realizar un análisis previo de la estructura de la red virtual. Puede encontrar el límite de todos las características de Amazon VPC en la Guía de Cloud Computing.