Volver al curso
11 / 12
Trackear progreso

Mejores Prácticas de Seguridad en AWS

Lectura
25 min~9 min lectura
CONCEPTO CLAVE: En AWS, la seguridad es una responsabilidad compartida entre AWS y el cliente. AWS se encarga de proteger la infraestructura global (hardware, software, redes y facilities), mientras que tú eres responsable de proteger tus datos, aplicaciones y configuraciones dentro de la nube. Este modelo de responsabilidad compartida es fundamental para entender cómo implementar seguridad efectiva en AWS.

¿Por qué es importante la seguridad en la nube?

Según el informe de amenazas de Verizon, el 61% de las brechas de seguridad afectan a empresas pequeñas y medianas. En AWS, más de 200 servicios están disponibles, y cada uno puede ser un punto potencial de vulnerabilidad si no se configura correctamente. Por eso, implementar mejores prácticas de seguridad desde el inicio no es opcional, es esencial.

El Modelo de Responsabilidad Compartida de AWS

AWS opera bajo un modelo de responsabilidad compartida que divide las obligaciones de seguridad entre AWS y el cliente:

Responsabilidad de AWS Responsabilidad del Cliente
Seguridad DE la nube (infraestructura global) Seguridad EN la nube (datos, acceso, configuraciones)
Regiones, Availability Zones, Edge Locations Datos almacenados y cifrado
Hardware físico de servidores Políticas IAM y permisos
Software base (hypervisors, firmware) Sistemas operativos invitados
Red global (backbone de AWS) Configuración de grupos de seguridad
📌 Recuerda: AWS gestiona automáticamente las amenazas a nivel de infraestructura, pero tú debes configurar quién puede acceder a tus recursos y cómo se protegen tus datos.

Mejores Prácticas de Seguridad en AWS

1. Gestión de Identidades y Accesos (IAM)

El servicio de AWS Identity and Access Management (IAM) es el centro de la seguridad en AWS. Sin una gestión adecuada de identidades, cualquier persona podría acceder a tus recursos sensibles.

💡 Principio del Mínimo Privilegio: Otorga únicamente los permisos mínimos necesarios para que un usuario o servicio realice su función. Es mejor dar permisos específicos que permisos excesivos.

Prácticas recomendadas para IAM:

  1. Activa la autenticación multifactor (MFA) para todas las cuentas root y usuarios privilegiados. Esto añade una capa adicional de seguridad más allá de la contraseña.
  2. Utiliza roles de IAM en lugar de claves de acceso. Los roles proporcionan credenciales temporales y eliminan la necesidad de almacenar claves estáticas.
  3. Crea políticas personalizadas que sigan el principio de mínimo privilegio. Evita usar políticas administrativas completas a menos que sea absolutamente necesario.
  4. Implementa contraseñas fuertes con políticas que incluyan longitud mínima de 14 caracteres, mayúsculas, minúsculas, números y caracteres especiales.
  5. Rotación regular de claves de acceso. Configura una rotación automática cada 90 días.
# ❌ MAL: Permiso demasiado amplio
actions: ["s3:*"]  # Acceso total a TODOS los buckets S3

# ✅ BIEN: Permiso específico
actions: ["s3:GetObject"]
resources: ["arn:aws:s3:::mi-bucket-privado/*"]

2. Protección de Datos

Tus datos son el activo más valioso de tu organización. AWS ofrece múltiples capas de protección para garantizar su confidencialidad, integridad y disponibilidad.

CONCEPTO CLAVE: Los datos en AWS deben protegerse en reposo (cuando están almacenados) y en tránsito (cuando se transmiten entre sistemas). AWS proporciona servicios nativos de cifrado para ambos escenarios.

Cifrado de datos:

Servicio Tipo de Cifrado Uso
AWS KMS Cifrado simétrico y asimétrico Gestión centralizada de claves
Amazon S3 Cifrado automático (SSE-S3, SSE-KMS, SSE-C) Datos almacenados en buckets
Amazon DynamoDB Cifrado en reposo Bases de datos NoSQL
Amazon RDS Cifrado transparente (TDE) Bases de datos relacionales
Amazon EBS Cifrado AES-256 Volúmenes de almacenamiento
⚠️ Importante: Habilita el cifrado por defecto en todos los buckets S3 y bases de datos. Una vez habilitado, todos los nuevos objetos se cifrarán automáticamente.

3. Seguridad de Red

La seguridad de red actúa como la primera barrera de defensa contra accesos no autorizados. AWS proporciona múltiples servicios para controlar el tráfico de red.

Grupos de Seguridad:

Los Security Groups actúan como firewalls virtuales para tus instancias EC2. Funcionan a nivel de instancia y controlan el tráfico entrante y saliente.

# Ejemplo: Security Group para servidor web
# Reglas de entrada:
- Type: HTTP | Port: 80 | Source: 0.0.0.0/0
- Type: HTTPS | Port: 443 | Source: 0.0.0.0/0
- Type: SSH | Port: 22 | Source: 10.0.0.0/16 (solo red interna)

# Reglas de salida:
- Type: All Traffic | Port: All | Destination: 0.0.0.0/0
💡 Buena práctica: Nega todo el tráfico entrante por defecto y solo permite explícitamente lo necesario. Esto se conoce como "deny-all, permit-by-exception".

Amazon VPC:

Las Amazon Virtual Private Cloud (VPC) te permiten aislar tus recursos en una red virtual privada. Implementa una arquitectura de subredes múltiples:

  1. Subred pública: Para recursos que necesitan acceso a Internet (balanceadores de carga, NAT Gateway).
  2. Subred privada: Para aplicaciones y bases de datos que no deben ser accesibles directamente desde Internet.
  3. Subred de datos: Para bases de datos y almacenamiento que requieren máxima protección.
📌 Arquitectura recomendada: Implementa un diseño de múltiples capas (DMZ) con al menos tres subredes distribuidas en diferentes Availability Zones para Alta Disponibilidad.

4. Monitoreo y Registro

No puedes proteger lo que no puedes ver. AWS CloudTrail y Amazon CloudWatch son fundamentales para mantener visibilidad sobre tus recursos.

CONCEPTO CLAVE: AWS CloudTrail registra todas las llamadas a la API realizadas en tu cuenta, incluyendo quién las hizo, desde dónde, y cuándo. Amazon CloudWatch proporciona monitoreo de recursos y aplicaciones en tiempo real.

Configuración de logging:

  1. Habilita CloudTrail en todas las regiones para tener un registro completo de todas las actividades.
  2. Configura buckets S3 dedicados para almacenar logs con acceso restringido.
  3. Habilita AWS Config para mantener un inventario de recursos y evaluar configuraciones.
  4. Implementa Amazon GuardDuty para detección inteligente de amenazas.
  5. Configura alertas con CloudWatch Alarms para eventos críticos de seguridad.
# Ejemplo: Alarma CloudWatch para intentos de login fallidos
aws cloudwatch put-metric-alarm \
  --alarm-name "ExcessiveLoginFailures" \
  --metric-name "ConsoleLoginFailures" \
  --namespace "AWS/CloudTrail" \
  --threshold 5 \
  --period 300 \
  --evaluation-periods 1 \
  --statistic "Sum"

5. Control de Costos y Seguridad

La seguridad y el control de costos están relacionados. Configuraciones incorrectas pueden generar costos inesperados y también indicar posibles problemas de seguridad.

⚠️ Alerta: Revisa regularmente tus recursos para detectar servicios que no necesitas activos. Un recurso abandonado pero accesible es un vector de ataque potencial.
Ver más: Checklist de revisión de costos de seguridad
  • Eliminar Access Keys no utilizadas
  • Revocar permisos no utilizados durante 90+ días
  • Terminar instancias EC2 que no estén en uso
  • Eliminar snapshots y volúmenes huérfanos
  • Revisar políticas de bucket S3 públicas
  • Auditar usuarios IAM inactivos

Herramientas de Seguridad Nativas de AWS

Servicio Función ¿Qué detecta?
Amazon GuardDuty Detección de amenazas Actividad maliciosa, compromised credentials
AWS Security Hub Agregación de alertas Centraliza hallazgos de múltiples servicios
Amazon Macie Protección de datos Datos sensibles (PII) en S3
AWS WAF Firewall de aplicaciones web SQL injection, XSS, ataques DDoS
AWS Shield Protección DDoS Ataques de denegación de servicio
AWS Secrets Manager Gestión de secretos Rotación automática de credenciales
"La seguridad no es un producto, es un proceso. No se trata solo de tecnología, sino de personas, procesos y tecnología trabajando juntos." — Esta filosofía aplica perfectamente a AWS, donde la seguridad efectiva requiere configuración correcta, monitoreo constante y formación del equipo.

Cumplimiento Normativo en AWS

AWS cumple con múltiples certificaciones y regulaciones de seguridad, incluyendo ISO 27001, SOC 1/2/3, PCI DSS Level 1, HIPAA, GDPR, entre otras. AWS Artifact proporciona acceso directo a los informes de cumplimiento y acuerdos.

💡 Consejo práctico: Utiliza AWS Artifact para descargar y revisar los informes de cumplimiento relevantes para tu industria. Esto te ayudará a entender qué controles ya están gestionados por AWS y cuáles debes implementar tú.

Resumen de Mejores Prácticas

📌 Puntos clave para implementar seguridad en AWS:
  1. Habilita MFA en todas las cuentas, especialmente la cuenta root.
  2. Utiliza roles IAM en lugar de Access Keys siempre que sea posible.
  3. Aplica el principio de mínimo privilegio en todas las políticas.
  4. Cifra todos los datos en reposo y en tránsito.
  5. Implementa múltiples capas de seguridad en la red.
  6. Habilita logging y monitoreo desde el inicio.
  7. Realiza auditorías regulares de configuraciones y permisos.
  8. Automatiza la respuesta a incidentes de seguridad.
🧠 Quiz: Mejores Prácticas de Seguridad en AWS

¿En qué tipo de subred deberías colocar una base de datos que contiene información sensible de clientes?

  • A) Subred pública, para fácil acceso
  • B) Subred privada, para protegerla de acceso directo desde Internet
  • C) No importa la subred, lo importante es el cifrado
  • D) En la cuenta root de AWS
✅ Respuesta correcta: B) La base de datos debe estar en una subred privada para que no sea accesible directamente desde Internet. Esto es parte de la arquitectura de múltiples capas que AWS recomienda para proteger recursos sensibles.
🧠 Quiz: Mejores Prácticas de Seguridad en AWS

¿Qué servicio de AWS se utiliza para registrar todas las llamadas a la API en tu cuenta?

  • A) Amazon CloudWatch
  • B) AWS CloudTrail
  • C) Amazon GuardDuty
  • D) AWS IAM
✅ Respuesta correcta: B) AWS CloudTrail es el servicio que registra automáticamente todas las llamadas a la API realizadas en tu cuenta, incluyendo información sobre quién las hizo, desde qué dirección IP y en qué momento.
🧠 Quiz: Mejores Prácticas de Seguridad en AWS

Según el modelo de responsabilidad compartida de AWS, ¿de quién es la responsabilidad cifrar los datos almacenados en Amazon S3?

  • A) Solo de AWS
  • B) Solo del cliente
  • C) Responsabilidad compartida
  • D) De Amazon.com
✅ Respuesta correcta: C) Es una responsabilidad compartida. AWS proporciona las herramientas para cifrar (SSE-S3, SSE-KMS), pero el cliente debe habilitar y configurar el cifrado en sus buckets S3.
CONCEPTO CLAVE: La seguridad efectiva en AWS es un ciclo continuo, no un proyecto de una sola vez. Implementa las mejores prácticas desde el inicio, monitorea constantemente, y actualiza tus configuraciones a medida que evolucionan las amenazas y tus necesidades.

Conclusión

Implementar seguridad robusta en AWS requiere comprender el modelo de responsabilidad compartida y aplicar las mejores prácticas de manera consistente. No importa si eres principiante o tienes experiencia, seguir estos principios te ayudará a proteger tus recursos y datos en la nube.

Recuerda: la seguridad es responsabilidad de todos. Cada usuario, cada configuración y cada decisión importa. Empieza implementando los controles básicos y ve avanzando hacia arquitecturas más sofisticadas conforme tu experiencia crece.

Leccion anterior

AWS IAM: Gestión de Identidades y Acceso

Siguiente leccion

Preparación para el Examen CLF-C02

Ver mas cursos