Blog de Amazon Web Services (AWS)

Revolucionando la Arquitectura de Red con Amazon VPC Lattice: Seguridad, Simplicidad y Escalabilidad

Por Jorge Castillo, arquitecto de soluciones en AWS  y Brenda Quilarque, Gerente de Soluciones para Clientes del Sector Público.

La gestión de redes empresariales en la nube presenta desafíos significativos para los equipos de TI modernos. ¿Cómo podemos simplificar la conectividad entre servicios mientras mantenemos altos estándares de seguridad? AWS responde a este desafío con Amazon VPC Lattice, un servicio de red de aplicaciones totalmente administrado que le permite conectar, proteger y monitorear las comunicaciones entre servicios, sin importar dónde se ejecuten sus aplicaciones: en Amazon Elastic Container Service, Amazon Elastic Kubernetes Service, Amazon Elastic Compute Cloud (Amazon EC2) o AWS Lambda.

Con Amazon VPC Lattice, puede definir políticas consistentes para autenticar y autorizar las comunicaciones entre servicios, aplicar el cifrado del tráfico y gestionar cuotas de API, todo desde una ubicación centralizada. Ya sea que esté administrando una arquitectura de microservicios en crecimiento o una compleja red empresarial distribuida en múltiples cuentas de AWS, Amazon VPC Lattice simplifica la conectividad entre servicios mientras mantiene el control granular que necesita para cumplir con sus requisitos de seguridad y cumplimiento normativo.

La Evolución de las Arquitecturas de Red

Tradicionalmente, la gestión de redes en entornos cloud implicaba una compleja maraña de VPCs, subredes, y reglas de seguridad. Con la introducción de VPC Lattice, AWS nos ofrece una forma de simplificar drásticamente esta complejidad, permitiéndonos crear una malla de servicios unificada que abarca múltiples VPCs y cuentas.

La conectividad entre servicios en AWS tradicionalmente requería la configuración y gestión manual de múltiples componentes: VPCs, balanceadores de carga, grupos de seguridad y políticas de IAM. Amazon VPC Lattice simplifica drásticamente este proceso al ofrecer una capa de red de aplicaciones unificada que gestiona automáticamente la conectividad, seguridad y monitoreo de sus servicios a través de múltiples VPCs y cuentas de AWS. En lugar de mantener configuraciones complejas para cada conexión entre servicios, puede definir políticas consistentes desde una ubicación centralizada, reduciendo significativamente el tiempo de configuración y el riesgo de errores.

¿Cómo Amazon VPC Lattice revoluciona la conectividad?

Beneficios principales:

Conectividad simplificada

  • Configure la comunicación entre servicios en minutos, sin necesidad de gestionar manualmente VPCs, balanceadores de carga o reglas de enrutamiento.
  • Conecte servicios a través de múltiples cuentas y VPCs con políticas consistentes.
  • Utilice el registro de servicios integrado para descubrir y conectar servicios automáticamente.

Seguridad integrada

  • Implemente autenticación y autorización consistentes para todas las comunicaciones entre servicios.
  • Aplique políticas de seguridad granulares a nivel de servicio y API.
  • Habilite automáticamente el cifrado en tránsito para todas las comunicaciones.

Monitoreo centralizado

  • Obtenga visibilidad detallada del tráfico entre servicios.
  • Acceda a métricas y registros integrados para diagnóstico y auditoría.
  • Configure alarmas y paneles personalizados para monitorear la salud de sus servicios.

Control de tráfico avanzado

  • Balancee el tráfico automáticamente entre múltiples instancias de servicio.
  • Implemente controles de velocidad y cuotas para proteger sus servicios.
  • Configure reglas de enrutamiento basadas en encabezados HTTP y metadatos.

Amazon VPC Lattice es un servicio que permite crear una capa de abstracción sobre tu infraestructura de red existente. Se puede describir como una red superpuesta que conecta tus servicios de manera inteligente, independientemente de dónde estén alojados dentro de tu ecosistema AWS.

Características clave:

  1. Conectividad simplificada: VPC Lattice elimina la necesidad de configurar manualmente las rutas entre VPCs, simplificando enormemente la gestión de la red.
  2. Seguridad por diseño: Implementa automáticamente políticas de seguridad granulares, aplicando el principio de mínimo privilegio en cada conexión.
  3. Descubrimiento de servicios integrado: Facilita la localización y comunicación entre servicios sin necesidad de DNS personalizado o configuraciones complejas.
  4. Balanceo de carga incorporado: Distribuye el tráfico de manera eficiente entre las instancias de tus servicios, mejorando la resiliencia y el rendimiento.

Figura1: Consumo de servicios de VPC a VPC con Amazon VPC Lattice.

Implementando el Principio de Mínimo Privilegio con VPC Lattice

Una de las características más innovadoras de VPC Lattice es su capacidad para implementar de manera efectiva el principio de mínimo privilegio. Esto se logra a través de:

  • Políticas de acceso granulares: Define exactamente qué servicios pueden comunicarse entre sí y qué acciones pueden realizar.
  • Autenticación y autorización integradas: Utiliza los mecanismos de AWS IAM para asegurar cada interacción entre servicios.
  • Segmentación lógica: Crea grupos de servicios aislados dentro de tu malla, limitando el alcance potencial de cualquier brecha de seguridad.

Figura 2: Política de autorización para el rol vinculado al servicio para VPC Lattice

Seguridad por Diseño: Un Nuevo Paradigma

Amazon VPC Lattice no solo simplifica la red; también incorpora la seguridad como un componente fundamental de su diseño. Esto se manifiesta en:

  1. Encriptación en tránsito por defecto: Toda comunicación dentro de la malla está encriptada automáticamente.
  2. Auditoría y logging centralizados: Obtén visibilidad completa de todas las interacciones entre servicios.
  3. Integración con AWS Security Hub: Monitorea y gestiona la postura de seguridad de tu malla de servicios desde un único panel.

Caso de Uso: Microservicios Seguros y Escalables

Con Amazon VPC Lattice, podríamos:

  1. Crear un service mesh que abarque múltiples VPCs y en un entorto multicuenta de AWS.
  2. Implementar microservicios (catálogo, carrito, pagos) en diferentes VPCs por razones de seguridad y cumplimiento.
  3. Utiliza VPC Lattice para:
    • Conectar estos servicios de manera segura, aplicando políticas de mínimo privilegio.
    • Balancear automáticamente el tráfico entre instancias de servicios en diferentes regiones.
    • Implementar circuit breakers y retry policies a nivel de malla para mejorar la resiliencia.
    • Proporcionar descubrimiento de servicios dinámico, permitiendo escalar servicios sin cambios de configuración.

Figura 3: Arquitectura de seguridad y conectividad con VPC Lattice.

Una cuenta central puede tener propiedad de varias redes de servicios, las cuales estan compartidas (a traves de AWS Resource Access Manager) para otras cuentas AWS, dentro de la misma o diferentes organizaciones de AWS. El uso de varias redes de servicio posibilita la segmentacion de servicio, que tambien pueden ser complementadas con el uso de politicas.

Tengamos como ejemplo una plataforma de e-commerce que necesita escalar rápidamente durante eventos de ventas masivas.

Figura 4: Arquitectura con VPC Lattice en un entorno multicuenta en AWS.

  1. Una funcion AWS Lambda ubicada en una VPC puede descubrir automaticamente y acceder a la red de servicio despues de que la VPC sea acoplada. En este caso, el servicio consumidor ubicado en la función Lambda consulta el resolver de la VPC para enrutar el trafico al servicio de autenticación (auth).
  2. La resolución DNS determina que el tráfico debe ser enviado a la red de servicio 2.
  3. Ambas politicas a nivel de la red de servicio y a nivel del servicio permiten el tráfico al destino (grupo de Autoescalamiento) desde la cuenta consumidora, de esta manera la aplicación consumidora pueda consumir el servicio de autenticación.
  • La aplicación consumidora ubicada en una instancia EC2 consulta el resolver de la VPC para obtener la ruta del servicio de autenticación. Esto resuelve internamente las direcciones locales de VPC Lattice hacia la red de servicio.
  • Como el servicio /auth no forma parte del directorio de servicios de la red de servicio 1, el tráfico es descartado.

Este enfoque no solo simplifica la arquitectura, sino que también mejora significativamente la seguridad y la escalabilidad del sistema.

Conclusión: Transformando el Futuro de las Redes Empresariales

Las arquitecturas de microservicios y aplicaciones distribuidas presentan desafíos significativos para las empresas modernas. Amazon VPC Lattice emerge como una solución transformadora que aborda estos retos de manera elegante y efectiva.

¿Por qué adoptar VPC Lattice?

  • Reduzca la complejidad operativa al eliminar la necesidad de gestionar manualmente la conectividad entre servicios.
  • Mejore su postura de seguridad con políticas consistentes y controles granulares.
  • Acelere el desarrollo y despliegue de aplicaciones con conectividad automatizada.
  • Obtenga visibilidad completa de las comunicaciones entre servicios.

Próximos pasos

  1. Explore la documentación oficial de Amazon VPC Lattice
  2. Implemente un proyecto piloto para familiarizarse con las capacidades del servicio
  3. Identifique casos de uso en su organización donde Amazon VPC Lattice pueda aportar valor
  4. Comience con una arquitectura simple y escale según sus necesidades

La modernización de las redes empresariales no tiene que ser compleja. Con Amazon VPC Lattice, AWS demuestra que es posible combinar seguridad robusta, simplicidad operativa y escalabilidad empresarial en una única solución. Ya sea que esté comenzando su viaje hacia los microservicios o buscando optimizar su infraestructura existente, VPC Lattice proporciona los cimientos necesarios para construir la próxima generación de aplicaciones en la nube.

 

Autores

Jorge Castillo es arquitecto de soluciones en AWS para el sector público y reside en Santiago de Chile. Se especializa en seguridad y cumplimiento normativo y trabaja con algunas agencias gubernamentales.
Brenda Quilarque se desempeña como Gerente de Soluciones para Clientes del Sector Público, su rol principal se centra en acompañar y asesorar a organizaciones en su proceso de transformación digital y migración a la nube, asegurando una transición fluida y segura que optimice sus operaciones. Además se especializa en seguridad de infraestructura.