🧠 ¿Qué es un Security Group?
Un Security Group es un firewall virtual que controla qué tráfico puede entrar y salir de tus recursos en AWS (EC2, Load Balancer, RDS, etc.).
Funciona a nivel de instancia o servicio, no de red completa, y es el primer nivel real de defensa en la mayoría de las arquitecturas AWS.
📌 Son stateful:
Si permites la entrada, la respuesta está permitida automáticamente.
🛠️ ¿Cómo se usa?
Los Security Groups se basan en reglas explícitas:
- Puerto
- Protocolo
- Origen / destino
Ejemplo simple:
Permitir tráfico HTTP/HTTPS solo desde un Application Load Balancer
Bloquear cualquier otro acceso directo a la instancia
No se “niega” tráfico explícitamente:
👉_ todo lo que no está permitido, queda bloqueado._
✅ Buenas prácticas clave
✔️ Principio de mínimo privilegio
Abrir solo los puertos estrictamente necesarios.
✔️ Referenciar Security Groups, no IPs
Ejemplo: permitir tráfico desde el SG del Load Balancer al SG de la aplicación.
✔️ Nunca usar 0.0.0.0/0 por comodidad
Menos aún en puertos sensibles (22, 3389, bases de datos).
✔️ Un rol, un Security Group
Evita SG “comodín” usados por todo.
✔️ Documentar las reglas
Un SG sin contexto es deuda técnica.
🧩 Ejemplo práctico (arquitectura común):
ALB (público)
Permite 80/443 desde internet
EC2 App .NET (privada)
Permite 80/443 solo desde el SG del ALB
Resultado:
La aplicación no es accesible desde internet
Todo el tráfico pasa por un punto controlado
🚨 ¿Por qué es tan importante configurarlos bien?
Porque:
- Un Security Group mal configurado expone tu aplicación
- Muchos incidentes de seguridad comienzan con un 0.0.0.0/0
- Son fáciles de crear… y fáciles de romper
💡 En AWS, muchas veces la seguridad no falla por falta de servicios, sino por malas reglas.
🏁 Cierre
Antes de pensar en WAF, Zero Trust o arquitecturas complejas,
aprende a usar bien los Security Groups.
En AWS, un buen Security Group puede salvarte de un muy mal día.
Top comments (0)