Tema 5

5. Seguridad de redes cloud: VPC, subredes, security groups, firewalls y conectividad privada

La red cloud define qué recursos pueden comunicarse, qué servicios quedan expuestos y cómo se conectan aplicaciones, usuarios, sedes y servicios administrados. Diseñarla bien reduce superficie de ataque y facilita contención.

Objetivo Diseñar redes cloud con exposición mínima
Enfoque VPC, subredes, rutas, firewalls y conectividad privada
Resultado Separar, filtrar e inspeccionar tráfico cloud

5.1 Introducción

Las redes cloud se crean por software, pero siguen cumpliendo una función crítica: controlar el flujo de comunicación entre recursos. Una mala regla de red puede exponer bases de datos, consolas administrativas, APIs internas o servicios que nunca debieron estar disponibles desde internet.

En cloud, los conceptos clásicos de red se combinan con componentes propios de cada proveedor: VPC o VNet, subredes, tablas de rutas, gateways, security groups, firewalls administrados, endpoints privados, balanceadores y servicios de conectividad híbrida.

El objetivo no es construir redes complejas, sino redes entendibles, segmentadas y verificables, donde cada ruta y exposición tenga una razón clara.

5.2 VPC, VNet y redes virtuales

Una VPC, VNet o red virtual es un espacio lógico aislado donde se despliegan recursos cloud. Define rangos IP, subredes, rutas, conectividad y controles de tráfico. Es la base de la segmentación de red en cloud.

Una red virtual bien diseñada debe considerar:

  • Rangos IP que no se solapen con otras redes cloud, sedes o VPN.
  • Separación entre subredes públicas, privadas y de administración.
  • Rutas controladas hacia internet, otras VPC/VNet, datacenters y servicios administrados.
  • Capacidad de crecimiento sin rediseños urgentes.
  • Compatibilidad con auditoría, monitoreo y respuesta a incidentes.
Una VPC no es segura por existir. Es segura si sus subredes, rutas, reglas, endpoints y accesos están diseñados con mínimo privilegio y visibilidad suficiente.

5.3 Subredes públicas, privadas y de administración

Las subredes separan recursos según exposición y función. La distinción más común es entre subred pública y privada, pero en arquitecturas maduras también aparecen subredes de datos, integración, administración, seguridad y egreso.

Tipo de subred Uso típico Control clave
Pública Balanceadores, gateways o servicios que reciben tráfico externo Exponer solo componentes necesarios y usar filtrado adicional
Privada Aplicaciones internas, servicios backend y procesamiento Sin ruta directa entrante desde internet
Datos Bases de datos, colas, caches y almacenamiento interno Acceso solo desde aplicaciones autorizadas
Administración Bastion, herramientas de operación, jump hosts o endpoints de gestión Acceso restringido, MFA, logging y sesiones auditadas
Egreso Salida controlada hacia internet o terceros NAT, proxy, firewall e inspección de tráfico saliente

5.4 Tablas de rutas y gateways

Las tablas de rutas determinan por dónde viaja el tráfico. Una subred puede tener una ruta hacia internet, hacia otra red, hacia un gateway NAT, hacia un firewall central o hacia un enlace privado.

Riesgos habituales:

  • Subredes privadas con rutas directas no previstas hacia internet.
  • Rutas demasiado amplias entre ambientes o cuentas.
  • Conectividad híbrida que permite acceso lateral desde sedes comprometidas.
  • Peering entre redes sin segmentación ni control de rutas.
  • Gateways compartidos sin monitoreo ni registro de tráfico.

Las rutas deben documentarse y revisarse igual que las reglas de firewall, porque una ruta incorrecta puede convertir un recurso interno en alcanzable desde lugares no deseados.

5.5 Security groups y listas de control

Los security groups, network security groups o listas de control permiten filtrar tráfico hacia recursos o subredes. Su granularidad varía según el proveedor, pero el principio es el mismo: permitir solo comunicaciones necesarias.

Regla Riesgo Mejor enfoque
SSH/RDP desde 0.0.0.0/0 Fuerza bruta y acceso administrativo expuesto VPN, bastion, SSO, JIT y origen restringido
Base de datos abierta a toda la VPC Movimiento lateral desde cualquier workload Permitir solo subredes o identidades de aplicación autorizadas
Salida irrestricta a internet Exfiltración o descarga de payloads Egreso por proxy, firewall o destinos permitidos
Reglas sin descripción Dificultad para auditar y limpiar permisos Documentar propósito, dueño, ticket y fecha de revisión

5.6 Firewalls cloud y control centralizado

Los firewalls cloud permiten aplicar políticas de tráfico más avanzadas que una simple regla de puerto. Pueden inspeccionar tráfico, filtrar por dominio, aplicar listas de amenazas, registrar eventos y controlar egreso.

Se usan especialmente para:

  • Controlar salida a internet desde subredes privadas.
  • Inspeccionar tráfico entre redes o ambientes.
  • Aplicar políticas consistentes en múltiples cuentas o proyectos.
  • Proteger servicios publicados mediante WAF o filtrado de capa 7.
  • Centralizar logs de conexiones permitidas y bloqueadas.
Un firewall centralizado aporta control, pero también puede convertirse en punto crítico. Debe diseñarse con alta disponibilidad, monitoreo y proceso claro de cambios.

5.7 Conectividad privada a servicios cloud

Muchos proveedores permiten consumir servicios administrados mediante endpoints privados. Esto evita que el tráfico hacia almacenamiento, bases de datos, colas o APIs administradas salga por internet público.

Beneficios:

  • Reduce exposición pública de servicios internos.
  • Permite aplicar controles de red y políticas de acceso más precisas.
  • Disminuye dependencia de rutas públicas para servicios críticos.
  • Facilita cumplimiento cuando se exige tráfico privado.

Los endpoints privados también deben gobernarse: pueden ampliar conectividad hacia servicios sensibles si no se controlan por cuenta, red, identidad y recurso.

5.8 Peering, transit gateways y conectividad entre redes

A medida que crece el uso de cloud, aparecen muchas redes virtuales. Conectarlas sin criterio puede crear una malla difícil de entender y controlar. Para evitarlo se usan patrones como hub-and-spoke, transit gateways o redes compartidas.

Patrón Ventaja Riesgo
Peering directo Simple para pocas redes Difícil de gobernar cuando crece
Hub-and-spoke Centraliza conectividad y control El hub requiere alta disponibilidad y cambios controlados
Transit gateway Escala interconexión entre muchas redes Rutas amplias pueden permitir movimiento lateral
Red compartida Reduce duplicación y estandariza conectividad Errores centrales impactan a múltiples equipos

5.9 Conectividad híbrida

Muchas organizaciones conectan cloud con datacenters, oficinas o redes de terceros mediante VPN, enlaces dedicados o SD-WAN. Esta conectividad amplía la superficie de ataque: un incidente local puede alcanzar cloud y un incidente cloud puede impactar sistemas internos.

Controles recomendados:

  • Filtrar rutas anunciadas y evitar conectividad total por defecto.
  • Separar ambientes productivos, no productivos y administrativos.
  • Aplicar cifrado y autenticación fuerte en túneles.
  • Monitorear tráfico entre sedes y cloud.
  • Documentar dueños, rangos, rutas y dependencias críticas.
  • Probar escenarios de caída, failover y degradación.

5.10 Acceso administrativo seguro

Administrar recursos cloud no debería requerir exponer SSH, RDP o consolas internas directamente a internet. Existen alternativas más seguras y auditables.

  • Bastion hosts endurecidos con MFA, registro de sesiones y acceso limitado.
  • Acceso just-in-time para abrir permisos solo durante una ventana aprobada.
  • SSO y roles temporales para administración de consolas y APIs.
  • Administración mediante agentes o servicios de sesión sin puertos entrantes.
  • Restricción de origen por VPN, red corporativa o dispositivo gestionado.

El acceso administrativo debe ser excepcional, trazable y revisable. Si una regla administrativa queda abierta de forma permanente, se convierte en una puerta de entrada.

5.11 Segmentación y contención

La segmentación limita el movimiento lateral. Si un workload se compromete, no debería poder alcanzar bases de datos, servicios internos, redes administrativas o ambientes productivos sin restricciones.

Se puede segmentar por:

  • Cuenta o proyecto cloud.
  • VPC/VNet y subred.
  • Ambiente: desarrollo, staging y producción.
  • Aplicación o dominio funcional.
  • Nivel de sensibilidad de datos.
  • Tipo de acceso: usuario, administración, backend, datos o egreso.
La segmentación efectiva no consiste en crear muchas subredes, sino en controlar qué flujos están permitidos entre ellas y poder justificar cada excepción.

5.12 Monitoreo de red

Sin visibilidad, las reglas de red se vuelven difíciles de validar. Los logs de flujo, registros de firewall, eventos de DNS, métricas de balanceadores y alertas de exposición ayudan a detectar errores y actividad anómala.

Se recomienda monitorear:

  • Cambios en reglas de security groups, firewalls y rutas.
  • Tráfico rechazado o inusual hacia puertos sensibles.
  • Conexiones salientes hacia destinos no esperados.
  • Resoluciones DNS sospechosas o dominios recién registrados.
  • Servicios expuestos públicamente sin aprobación.
  • Flujos entre ambientes que deberían estar aislados.

5.13 Errores frecuentes

  • Usar una sola VPC para todo sin segmentación clara.
  • Crear subredes privadas que igualmente tienen rutas o reglas demasiado amplias.
  • Exponer SSH, RDP, bases de datos o paneles administrativos a internet.
  • Permitir salida irrestricta desde workloads críticos.
  • Conectar redes mediante peering sin revisar rutas efectivas.
  • No activar logs de flujo ni registros de firewall.
  • Dejar reglas temporales abiertas después de una prueba.
  • No documentar dueño y propósito de reglas de red.

5.14 Lista de verificación

  • ¿Los rangos IP evitan solapamientos con otras redes y sedes?
  • ¿Existen subredes separadas para público, privado, datos, administración y egreso?
  • ¿Los puertos administrativos están cerrados a internet?
  • ¿Las bases de datos y servicios internos no tienen exposición pública directa?
  • ¿El egreso de workloads sensibles se controla o monitorea?
  • ¿La conectividad privada a servicios administrados está habilitada cuando corresponde?
  • ¿Los cambios de rutas, firewalls y security groups generan auditoría?
  • ¿Los logs de flujo y firewall se centralizan para análisis?

5.15 Qué debes recordar de este tema

  • La red cloud debe diseñarse con exposición mínima, segmentación y visibilidad.
  • VPC/VNet, subredes, rutas y security groups definen gran parte de la superficie de ataque.
  • La conectividad privada reduce exposición, pero también debe gobernarse.
  • El acceso administrativo directo desde internet debe evitarse.
  • Los logs de red son esenciales para validar reglas, detectar anomalías e investigar incidentes.

5.16 Conclusión

La seguridad de redes cloud consiste en controlar rutas, exposición, segmentación y conectividad. Una red bien diseñada permite que las aplicaciones funcionen sin abrir caminos innecesarios hacia datos, administración o servicios internos.

En el próximo tema estudiaremos la protección de datos en cloud: cifrado, KMS, clasificación, backups y retención.

Volver al índice