Uno de nuestros clientes que maneja datos confidenciales de clientes necesitaba una infraestructura en la nube segura para sus aplicaciones web y bases de datos. Implementamos una pasarela NAT en una VPC para permitir que las instancias de subredes privadas accedieran a Internet para actualizaciones y llamadas a API, al tiempo que bloqueábamos el tráfico entrante. Esta solución proporciona acceso a Internet a instancias privadas sin exponerlas directamente a la Internet pública, lo que mejora la seguridad. Esto es lo que hicimos:
Este diagrama ilustra una configuración típica de VPC dividida en tres secciones principales: VPC, subred pública y subred privada. En primer lugar tenemos la caja verde exterior, la VPC, que aísla los recursos que contiene de otras redes. Los usuarios acceden al servidor web a través de la Internet pública utilizando una dirección IP estática asignada mediante NAT 1:1. El servidor web procesa las peticiones y, si es necesario, se comunica con el servidor de la base de datos. El servidor web se comunica con el servidor de base de datos a través del Servidor Router. El Servidor Router utiliza NAT personalizado para enrutar de forma segura el tráfico entre las subredes pública y privada. El servidor de base de datos, situado en la subred privada, recibe peticiones del servidor web a través de VLAN. El aislamiento de la subred privada garantiza que el servidor de base de datos no esté expuesto directamente a Internet, lo que mejora la seguridad. En este tutorial, recorreremos los pasos para configurar esta arquitectura, garantizando una comunicación segura y eficiente entre las subredes privada y pública. Crearemos una VPC con una subred pública y otra privada, configuraremos la pasarela NAT y configuraremos VLAN.
Tutorial
En este tutorial, vamos a crear una puerta de enlace NAT en una VPC, al igual que el diagrama que acabamos de ver. Si ya tienes una cuenta en Linode , puedes ir al paso 1. Si no tienes una cuenta en Linode , usa este enlace para registrarte y obtener $100 en créditos gratis para seguir los siguientes pasos. Desde Linode Dashboard, vamos a crear una VPC con dos subredes: una subred pública y una subred privada. En la subred privada, añadiremos una base de datos, y en la subred privada, añadiremos 2 instancias: una que actuará como servidor web, y otra que actuará como servidor router (NAT personalizado).
Paso 1: Crear una VPC
El primer paso para construir una pasarela NAT en una VPC es crear la VPC para aislar lógicamente nuestros recursos. Recordemos que ésta es la caja verde del diagrama que hemos visto. Las subredes privada y pública vivirán dentro de esta VPC.
Para ello, desde Linode Cloud Manager , haga clic en VPC en el panel izquierdo y, a continuación, en Crear VPC.
Paso 2: Configurar la subred pública
A continuación, tenemos que añadir una subred pública en la VPC que contendrá el servidor del router (NAT personalizado) y el servidor web. Recordemos que este es el cuadrado azul del diagrama que hemos visto.
En la parte inferior de la pantalla, donde dice Subredes, añada una etiqueta para la subred pública. Esta subred albergará el Servidor Router (Custom NAT) y el Servidor Web.
A continuación, haga clic en Crear VPC para aprovisionar la VPC.
Verá la subred pública creada con el ID de subred y el rango IP correspondientes.
Paso 3: Desplegar el Servidor Router y el Servidor Web
A continuación, necesitamos desplegar 2 instancias de Linode en la subred pública. Una instancia de Linode actuará como nuestro servidor de enrutamiento (NAT personalizado), que se encargará de las operaciones de NAT para gestionar el tráfico entre las subredes pública y privada. El otro servidor actuará como servidor web para gestionar el tráfico entrante desde Internet y reenviar las peticiones necesarias a la subred privada. En primer lugar, crearemos el servidor router. Desde Cloud Managerhaga clic en Linodes en el panel izquierdo, luego haga clic en Crear Linode. Elija la misma región que eligió cuando creó la VPC y, a continuación, seleccione la opción CPU dedicada de 8 GB.
A continuación, desplácese hacia abajo y asigne la VPC que creó en el paso 1, y luego elija la subred pública en el menú desplegable.
Haga clic en Crear Linode para finalizar el aprovisionamiento de esta instancia.
Ahora, vamos a crear el servidor web, utilizando el mismo proceso anterior. Haga clic en Crear Linode, seleccione la región que eligió para su VPC y, a continuación, asigne la VPC a esta instancia. Ahora verás tanto el servidor web como el servidor del router listados en la VPC bajo la subred pública.
Paso 4: Crear una subred privada
A continuación, tenemos que crear la subred privada dentro de la VPC para alojar el servidor de base de datos, que no tendrá acceso directo a la Internet pública. Ahora estamos construyendo la caja púrpura.
Desde su VPC, haga clic en Crear subred y, a continuación, introduzca una etiqueta y asigne el intervalo de IP privadas. Esta subred mantiene su base de datos protegida de cualquier amenaza externa.
Paso 5: Despliegue del servidor de base de datos
Ahora, vamos a desplegar una instancia de Linode en la subred privada para que sirva como servidor de nuestra base de datos. Esta instancia sólo será accesible desde la subred pública a través de la conexión segura VLAN. En el panel izquierdo de Linode Cloud Manager , haz clic en Bases de datos y, a continuación, en Crear clúster de bases de datos. Introduzca una etiqueta y elija su motor de base de datos preferido.
Recuerde que esta base de datos no puede ser directamente accesible a la Internet pública, como los otros servidores. En la parte inferior de la pantalla donde dice Añadir Controles de Acceso, vamos a añadir en el rango de direcciones UP permitido para la subred privada que hemos creado anteriormente.
A continuación, haga clic en Crear clúster de base de datos. Tenga en cuenta que esta base de datos puede tardar hasta 30 minutos en aprovisionarse.
Paso 6: Configurar VLAN
A continuación, tenemos que establecer un VLAN para permitir la comunicación segura entre las subredes pública y privada.
Esto garantiza que el tráfico entre el servidor web y el servidor de base de datos siga siendo privado y seguro. Desde el servidor del router, haz clic en la pestaña Configuraciones y, a continuación, en Editar.
Desplácese hacia abajo hasta la sección Redes. Haga clic en el menú desplegable bajo la interfaz de red deseada y seleccione VLAN. Normalmente, eth1 o eth2 se utilizarían al añadir el primer o segundo VLAN a una instancia de computación, respectivamente, ya que la interfaz de red eth0 de la instancia suele estar configurada para acceder a la Internet pública.
Junto a la interfaz seleccionada aparecerá un menú secundario para introducir la etiqueta VLANy la dirección IP que se utilizará.
Haga clic en el marcador de posición "Crear o seleccionar un VLAN" e introduzca un nombre para VLAN. A continuación, haga clic en Guardar cambios. Ahora verás todas las interfaces de red listadas en la pestaña de configuraciones.
Paso 8: Probar la conectividad
Ahora, vamos a probar la conectividad para verificar que el servidor del router maneja correctamente las operaciones NAT. También tenemos que asegurarnos de que el servidor web puede comunicarse con el servidor de base de datos a través de VLAN y que el servidor de base de datos no está expuesto directamente a Internet.
Navega hasta el primer servidor router que hemos creado y ejecuta la consola LISH. A continuación, haz ping a la red privada de la base de datos utilizando la dirección IP.
La salida debería mostrar los paquetes ICMP transmitidos y recibidos con éxito desde esta instancia a la base de datos en la red privada.
Ventajas de esta arquitectura
Utilizar esta arquitectura tiene un par de ventajas clave. En primer lugar, se mejora la seguridad. Una VPC permite aislar recursos dentro de subredes distintas (públicas y privadas). Una pasarela NAT garantiza que las instancias de las subredes privadas puedan acceder a Internet sin exponerse directamente a las amenazas de la Internet pública. Al utilizar una pasarela NAT en una VPC, sólo se permite el tráfico saliente desde las instancias privadas a Internet, lo que evita conexiones entrantes no solicitadas que podrían plantear riesgos de seguridad. Colocamos la base de datos dentro de la subred privada, y los elementos sensibles aquí están protegidos de la exposición directa a Internet, lo que reduce el riesgo de violación de datos.
Esta arquitectura también mejora enormemente la escalabilidad. Las pasarelas NAT están diseñadas para gestionar volúmenes considerables de tráfico y pueden ajustarse automáticamente a demandas crecientes, eliminando la necesidad de intervención manual. A medida que crece la carga de tráfico, la pasarela NAT escala sus recursos para mantener un rendimiento óptimo y garantizar una disponibilidad continua. Esta escalabilidad automatizada es especialmente beneficiosa para las plataformas de comercio electrónico, que a menudo experimentan patrones de tráfico fluctuantes debido a ventas estacionales, promociones y comportamientos variables de los clientes. Al aprovechar las pasarelas NAT, los desarrolladores pueden garantizar que sus aplicaciones sigan respondiendo y siendo fiables, incluso bajo una gran demanda, proporcionando en última instancia una mejor experiencia de usuario y apoyando el crecimiento del negocio.
La creación de una pasarela NAT en una VPC mediante Linode proporciona una forma segura y eficaz de gestionar el tráfico de red entre los recursos públicos y privados. Garantiza que sus instancias privadas puedan acceder a los recursos externos necesarios a la vez que las protege de la exposición directa a Internet, mejorando en última instancia la seguridad, escalabilidad y eficiencia de su infraestructura en la nube.
Siguiendo los pasos descritos anteriormente y utilizando el diagrama proporcionado como referencia, no solo podrá proteger los datos confidenciales de sus clientes, sino también optimizar el rendimiento de su red. Si eres un desarrollador que busca optimizar su seguridad en la nube y quieres construir más recursos en la nube, utiliza este enlace para solicitar hasta 5.000 dólares en créditos de Linode .
Comentarios