Aprender seguridad en AWS puede ser abrumador. Entras a la consola y ves una lista interminable de nombres que parecen sacados de una película de ciencia ficción. Pero si los agrupamos por su funcionalidad real, todo empieza a tener sentido.
He diseñado este mapa mental dividido en 6 categorías críticas que cubren todo el espectro de protección en la nube.
1. IAM & Identidad: Quién entra y qué hace
La identidad es el nuevo perímetro. Aquí es donde decides quién puede tocar tus recursos.
-
IAM (Identity and Access Management): La base de todo. Usuarios, grupos, roles y políticas (JSON) para dar permisos granulares.
-
Cognito: El servicio para tus aplicaciones móviles y web. Maneja el login de tus usuarios finales (Facebook, Google, Apple o email propio).
-
IAM Identity Center: (Antes AWS SSO). La forma moderna de gestionar el acceso centralizado a múltiples cuentas de AWS desde un solo lugar.
2. Detección y Respuesta: El equipo de vigilancia
Estos servicios te avisan cuando las cosas se ponen feas o te ayudan a investigar qué pasó.
-
GuardDuty: Detección inteligente de amenazas basada en logs (DPI, DNS, CloudTrail). Es tu sistema de alarmas.
-
Security Hub: El agregador central. Revisa si cumples mejores prácticas y centraliza las alertas de otros servicios.
-
Detective: Te ayuda a hacer “forensics”. Analiza la raíz de un incidente visualizando las conexiones y comportamientos previos de un atacante.
✅
💡 Tip Pro
Activa GuardDuty y Security Hub desde el primer día. Son esenciales para saber si alguien está intentando entrar en tu cuenta.
3. Protección de Red y Aplicaciones: Blindaje exterior
Protección contra ataques desde Internet.
AWS Shield: Protección contra ataques DDoS (denegación de servicio). El nivel estándar es gratis y automático.
WAF (Web Application Firewall): Filtra el tráfico HTTP/S. Bloquea inyecciones SQL, Cross-Site Scripting (XSS) y ataques de bots.
Network Firewall: Un firewall de red tradicional (inspección de paquetes a nivel 3-7) para proteger toda tu VPC.
4. Cifrado y Datos: Protegiendo el tesoro
Si el atacante entra, que no pueda leer nada.
KMS (Key Management System): Gestión de llaves para cifrar casi cualquier recurso (S3, EBS, RDS).
CloudHSM: Hardware de seguridad dedicado para cuando necesitas control total sobre las llaves físicas (regulatorio).
Secrets Manager: Centraliza tus contraseñas de BD y API Keys con rotación automática. No más “hardcode” en el código.
Macie: Usa IA para encontrar datos sensibles (DPI, tarjetas de crédito, nombres) que hayas dejado olvidados en S3.
5. Auditoría y Cumplimiento: Manteniéndolo legal
Demuestra que estás haciendo lo que dices que haces.
CloudTrail: El “CCTV” de AWS. Registra cada API call. Quién hizo qué, cuándo y desde dónde.
AWS Config: Historial de cambios en tus recursos. Te permite volver atrás en el tiempo para ver cómo estaba configurado un recurso hace 3 meses.
Audit Manager: Automatiza la recolección de evidencia para auditorías (ej: SOC2, PCI, HIPAA).
6. El futuro: Seguridad con IA
Las nuevas herramientas que están cambiando el juego.
Security Agent: Evaluación automática de vulnerabilidades en tiempo de ejecución.
GuardDuty XTD: Detección extendida que ahora analiza comportamientos más profundos en servicios de bases de datos y contenedores sin necesidad de agentes complejos.
Conclusión
No necesitas usar los 20+ servicios a la vez. Empieza por IAM, activa CloudTrail, protege tus datos con KMS/Secrets Manager y mantén la vista puesta en GuardDuty/Security Hub. La seguridad en la nube no es un destino, es un proceso continuo.
Compartir 🐦 Twitter/X 💼 LinkedIn
¿Te fue útil?
Mando contenido así cuando tengo algo que vale la pena.
Suscribirse ← Anterior GuardDuty vs Security Hub byron.lainez © 2026 · Guatemala 🇬🇹
