book

Seguridad y arquitectura de microservicios en AWS

Name: Seguridad y arquitectura de microservicios en AWS
Author: Gaurav Raje
ISBN: 9798341601338

by Gaurav Raje

October 2024

Intermediate to advanced

396 pages

11h 44m

Spanish

O'Reilly Media, Inc.

Read now

Unlock full access

Prefacio
Objetivos de este libroQuién debería utilizar este libroConvenciones utilizadas en este libroUtilizar ejemplos de códigoAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
1. Introducción a los microservicios en la nube
Aspectos básicos de la seguridad de la información en la nubeControles de riesgo y seguridadPolítica de seguridad de la organizaciónIncidentes de seguridad y la tríada de la CIAModelo de responsabilidad compartida de AWSArquitectura y seguridad de la nubeSeguridad mediante la modularidadSeguridad mediante la sencillezSeguridad mediante servicios AWS totalmente administradosRadio de Explosión, Aislamiento y la Analogía de las Habitaciones CerradasDefensa en profundidad y seguridadSeguridad mediante protección perimetralSeguridad mediante una arquitectura de confianza ceroBreve introducción a la arquitectura de softwareArquitectura por nivelesDiseño basado en el dominioMicroserviciosImplementación de Microservicios en AWSArquitectura de microservicios basada en contenedoresBrevísima introducción a KubernetesFunción como servicio: FaaS con AWS LambdaVisión general de la implementación de microservicios en la nubeAmazon EKSModo Fargate de Amazon EKSFunción como servicio con AWS LambdaResumen de la implementación de microserviciosEjemplos de patrones de comunicación de microserviciosEjemplo 1: Paso simple de mensajes entre contextosEjemplo 2: Colas de mensajesEjemplo 3: Microservicios basados en eventosResumen
2. Conceptos básicos de autorización y autenticación
Conceptos básicos de AWS Identity and Access ManagementDirectores en AWSPolíticas IAMPrincipio del menor privilegioPoLP y radio de explosiónEstructura de las políticas de AWS IAMPolíticas basadas en el directorPolíticas basadas en los recursosLa Zona de ConfianzaEvaluación de las políticasConceptos avanzados en las políticas de AWS IAMCondiciones de la Política IAMEtiquetas AWS y control de acceso basado en atributosElementos de política "Not": NotPrincipal y NotRecursoResumiendo las políticas IAMControl de acceso basado en funcionesModelado RBACAsegurar funcionesAsumir funcionesAsumir roles utilizando la interfaz de línea de comandos (CLI) de AWSCambio de roles mediante la consola de administración de AWSFunción vinculada al servicioAutenticación y gestión de identidadesFundamentos de la autenticaciónFederación de identidades en AWSFederación de identidades mediante SAML 2.0 y OpenID ConnectRBAC y MicroserviciosFunciones de ejecuciónRBAC con AWS LambdaRBAC con EC2 y el Servicio de Metadatos de InstanciaRBAC con Amazon EKS Utilizando Roles IAM para Cuentas de ServicioResumen
3. Fundamentos de la encriptación
Breve descripción de la encriptación¿Por qué es importante el cifrado en AWS?¿Por qué es importante el cifrado para las arquitecturas de microservicios?Cifrado en AWSRetos de seguridad con el cifrado basado en clavesProblema empresarialServicio de administración de claves de AWSCifrado básico mediante CMKEncriptación de sobresLa encriptación de sobres en acciónSeguridad y AWS KMSContextos KMS y datos autenticados adicionalesPolíticas claveSubvenciones y ViaServiceCMK y sus Componentes y Acciones ApoyadasRegiones y KMSCoste, complejidad y consideraciones normativasCifrado asimétrico y KMSCifrado y descifradoFirma digital (Firmar y verificar)Diseño basado en dominios y AWS KMSLímites contextuales y encriptaciónCuentas y compartir CMKKMS y consideraciones sobre la redRevisión de las subvenciones KMSCuentas y topologías KMS: Unirlo todoOpción 1: Incluir la CMK dentro de contextos delimitadosOpción 2: Utilizar una cuenta creada ex profeso para guardar el CMKAdministrador de secretos de AWSCómo funciona el Gestor de SecretosProtección de secretos en AWS Secrets ManagerResumen
4. Seguridad en reposo
Conceptos básicos de la clasificación de datosRecapitulación de la encriptación de sobres mediante KMSServicio de almacenamiento simple de AWSCifrado en AWS S3Control de acceso en Amazon S3 mediante políticas de bucket S3Amazon GuardDutyNo repudio mediante bloqueo de bóveda de glaciarSeguridad en reposo para servicios informáticosAnálisis estático del código con AWS CodeGuruRegistro elástico de contenedores de AWSAWS LambdaAlmacén de bloques elástico de AWSUnirlo todoSistemas de bases de datos de microserviciosAWS DynamoDBServicio de datos relacionales de Amazon AuroraSaneamiento de soportes y borrado de datosResumen
5. Seguridad en las redes
Redes en AWSControlaComprender los modelos monolito y microservicioSegmentación y MicroserviciosParticiones de red definidas por softwareSubredesEnrutamiento en una subredPasarelas y subredesSubred públicaSubred privadaSubredes y zonas de disponibilidadAcceso a Internet para subredesNube Privada VirtualEnrutamiento en una VPCMicrosegmentación en la capa de redComunicación VPC cruzadaVPC PeeringPasarela de tránsito de AWSPuntos finales de la VPCRecapitulación de la comunicación VPC cruzadaEquivalentes de cortafuegos en la nubeGrupos de seguridadReferencia a grupos de seguridad (encadenamiento) y diseñosPropiedades de los Grupos de SeguridadListas de control de acceso a la redGrupos de seguridad frente a NACLContenedores y seguridad de la redServicio de Metadatos de Instancias de BloquesIntenta ejecutar Pods en una subred privadaBloquea el acceso a Internet de los Pods a menos que sea necesarioUtiliza redes encriptadas entre podsLambdas y seguridad de la redResumen
6. Servicios de cara al público
Diseño API-First y pasarela APIPasarela de API de AWSTipos de puntos finales de AWS API GatewayProteger la pasarela APIIntegración de la pasarela de APIControl de acceso en la Pasarela de APISeguridad de la infraestructura en la pasarela de APIConsideraciones sobre los costes al utilizar AWS API GatewayAnfitrión del BastiónSoluciónDistribución de activos estáticos (Red de Distribución de Contenidos)AWS CloudFrontURL o cookies firmadasAWS Lambda@EdgeProtección contra los ataques habituales en las redes de perímetroFirewall de aplicaciones web de AWSAWS Shield y AWS Shield AvanzadoMicroservicios y AWS Shield AvanzadoConsideraciones sobre los costes de la protección de perímetrosResumen
7. Seguridad en tránsito
Conceptos básicos de la seguridad de la capa de transporteFirma digitalCertificados, Autoridad de Certificación y Verificación de IdentidadCifrado mediante TLSTerminación TLS y compensaciones con microserviciosDescarga y terminación TLSConsideraciones sobre el coste y la complejidad del cifrado en tránsitoAplicación de TLS en MicroserviciosSeguridad en tránsito al utilizar colas de mensajes (AWS SQS)gRPC y Equilibrador de Carga de AplicacionesTLS mutuoUna Introducción (Muy Breve) a las Mallas de Servicios: Una Perspectiva de SeguridadProxies y SidecarsComponentes y terminología de la App MeshTLS y App MeshmTLS RevisitadoAWS App Mesh: ResumenMicroservicios sin servidor y cifrado en tránsitoAWS API Gateway y AWS LambdaAlmacenamiento en caché, pasarela API y cifrado en tránsitoCifrado a nivel de campoResumen
8. Diseño de seguridad para la complejidad organizativa
Estructura organizativa y microserviciosLey de ConwayArquitectura de servicios orientada a un único equipoControl de acceso basado en funcionesElevación de privilegiosLímites del permisoLímites de Permiso para Delegar ResponsabilidadesEstructura de cuentas de AWS para grandes organizacionesCuentas y equipos de AWSOrganizaciones AWSUnidades organizativas y políticas de control de serviciosCuentas especialesHerramientas de AWS para organizacionesBuenas prácticas de las organizaciones AWSAdministrador de acceso a recursos de AWSServicios compartidos con AWS RAMInicio de sesión único en AWSAplicación de la autenticación multifactor en las cuentasSimplificación de una organización compleja basada en dominios mediante RBAC, SSO y organizaciones de AWSResumen
9. Monitoreo y respuesta a incidentes
Marco de Respuesta a Incidentes del NISTPaso 1: Diseño y preparaciónPaso 2: Detección y análisisPaso 3: Contención y aislamientoPaso 4: Análisis forensePaso 5: ErradicaciónPaso 6: Actividades posteriores al incidenteAsegurar la infraestructura de seguridadAsegurar un CloudTrailCuentas especialesResumen

A. Nube Terraform en cinco minutos
ConfigurarCrear tu espacio de trabajoAñadir acceso a AWS y clave secretaProceso TerraformProveedoresEstadoPlanesAplicaEscribir tu infraestructura Terraform como códigoMódulo raíz y estructura de carpetasVariables de entradaRecursosEjecutar y aplicar tu plan
B. Ejemplo de proveedor de identidad SAML para AWS
Ejemplo práctico de configuración de una identidad federadaPaso 1: Configura tu IdPPaso 2: Exportar metadatos para importarlos a la cuenta de AWSPaso 3: Añade tu IdP SAML como IdP de confianzaPaso 4: Crea un rol que tus usuarios federados puedan asumir para interactuar con tu cuenta de AWSPaso 5: Controlar el acceso a múltiples roles utilizando atributos personalizados dentro del IdPResumen
C. Cifrado práctico con AWS KMS
Cifrado básico mediante el CMKDescifrado básico mediante el CMKCifrado de sobres mediante el CMKDescifrar un mensaje cifrado con sobre
D. Un ejemplo práctico de aplicación del principio del menor privilegio
Paso 1: Crea una política IAM de AWS para tu tareaPaso 2: Definir los Parámetros de Servicio, Acciones y Efectos de una Política IAMPaso 3: Definir el RecursoPaso 4: Solicitar condicionesPaso 5: Confirmar la Política resultantePaso 6: Guardar la PolíticaPaso 7: Adjuntar la Política a un PrincipalResumen
Índice

Content preview from Seguridad y arquitectura de microservicios en AWS

Capítulo 4. Seguridad en reposo

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

Cuando se trata de microservicios, gran parte de la literatura del sector se centra en el diseño y desarrollo de los mecanismos que proporcionan servicios informáticos al usuario final. A pesar de ello, es ampliamente conocido que los microservicios requieren que cambiemos fundamentalmente nuestra forma de pensar sobre el almacenamiento. Normalmente se espera que los microservicios sean autocontenidos. Esto se aplica no sólo a su lógica, sino también a su mecanismo de almacenamiento de datos. A diferencia de los monolitos, donde centralizar el almacenamiento de forma no redundante es el principio rector, los microservicios requieren que los arquitectos piensen en la descentralización. En un entorno real de microservicios, los datos son ciudadanos de primera clase y deben tratarse de forma similar a cualquier servicio informático. Los arquitectos de microservicios fomentan la localización de los datos, en la que éstos se mantienen cerca del servicio que los necesita, para que el sistema pueda depender menos de bases de datos externas. Al evitar las bases de datos compartidas y centralizadas, un entorno de microservicios trabaja sólo con los datos disponibles dentro del contexto delimitado, garantizando así la autonomía y la escala al mismo tiempo. Además, este diseño de almacenamiento distribuido reduce la posibilidad de que los mecanismos ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9798341601338

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

Seguridad y arquitectura de microservicios en AWS

by Gaurav Raje

Capítulo 4. Seguridad en reposo

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.