Saltar a contenido

Seguridad de red

Exposición mínima

Solo se publica a Internet lo estrictamente necesario: la pasarela de entrada que atiende las peticiones a tu aplicación. El resto de componentes (base de datos, servicios internos, administración) no son accesibles desde Internet.

Punto de entrada único y cifrado

Todo el tráfico entra por una pasarela de entrada que:

  • Termina el cifrado TLS (consulta Cifrado).
  • Redirige automáticamente el tráfico no cifrado a HTTPS.
  • Aplica limitación de tasa (rate limiting) para mitigar abusos y picos anómalos de peticiones.

Segmentación interna

Dentro de la plataforma, el tráfico entre componentes está segmentado: por defecto, cada componente solo puede comunicarse con aquello que necesita. No existe una red plana donde todo habla con todo. Esto contiene el alcance de cualquier incidente a un único entorno o componente.

Administración fuera de la vista

El acceso administrativo no se realiza por Internet, sino a través de una red privada cifrada de administración. La superficie de ataque administrativa queda así fuera del alcance público.

Resumen

Lo mínimo expuesto, lo expuesto cifrado, lo interno segmentado y la administración fuera de la red pública.