CLF-C02
Deep Dive
AWS ofrece un ecosistema completo de servicios de seguridad. El CLF-C02 evalúa la capacidad de identificar el servicio correcto para cada escenario de seguridad. Conoce el propósito de cada uno y sus diferencias clave.
Contenido
| Servicio | Función principal | Qué detecta / protege |
|---|---|---|
| AWS Shield Standard | Protección DDoS automática | Ataques de capa 3/4 (volumen, protocolo). Incluido gratis para todos. |
| AWS Shield Advanced | Protección DDoS avanzada | Ataques de capa 7 + soporte DRT 24/7 + cobertura de costos por DDoS. |
| AWS WAF | Firewall de aplicaciones web | SQL injection, XSS, reglas personalizadas. Se aplica en CloudFront/ALB/API GW. |
| Amazon GuardDuty | Detección de amenazas con ML | Comportamiento anómalo en VPC Flow Logs, CloudTrail, DNS. Detección de intrusiones. |
| Amazon Inspector | Escaneo de vulnerabilidades | CVEs en EC2, containers (ECR) y funciones Lambda. Escaneo continuo automatizado. |
| Amazon Macie | Protección de datos sensibles en S3 | Datos PII (nombres, CC, SSN) en S3. Usa ML para clasificar y alertar. |
| AWS KMS | Gestión de claves de cifrado | Claves de cifrado para S3, EBS, RDS, Lambda, etc. FIPS 140-2 Level 2. |
| AWS Secrets Manager | Almacenamiento y rotación de secretos | Contraseñas de BD, API keys. Rotación automática integrada con RDS. |
| AWS CloudTrail | Auditoría de llamadas a API | Todos los eventos de API: quién hizo qué, cuándo, desde dónde. |
| AWS Config | Compliance y configuración | Historial de configuración de recursos. ¿Está el recurso en estado correcto? |
| AWS Security Hub | Vista unificada de seguridad | Agrega hallazgos de GuardDuty, Inspector, Macie, Config en un solo panel. |
| AWS Artifact | Compliance y reportes de auditoría | Acceso a reportes de auditoría de AWS (SOC, PCI, ISO). Para equipos de compliance. |
Protección gestionada contra ataques de Denegación de Servicio Distribuida (DDoS)
Shield Standard — Gratis para todos
Shield Advanced — Pago ($3,000/mes)
Protege aplicaciones web de ataques comunes como SQL injection y cross-site scripting (XSS)
Qué puede filtrar AWS WAF
Dónde se despliega WAF
Esta es la pregunta más frecuente del CLF-C02 en D2
El examen dará un escenario y deberás elegir entre GuardDuty, Inspector y Macie. Memoriza la diferencia fundamental de cada uno.
Amazon GuardDuty — Detección de amenazas con ML
GuardDuty es un servicio de detección de amenazas que monitorea continuamente actividad maliciosa y comportamiento no autorizado para proteger tus cuentas, cargas de trabajo y datos AWS.
Fuentes de datos analizadas
Qué detecta
Trampa de examen
GuardDuty = comportamiento anómalo y amenazas activas en tu entorno. NO escanea vulnerabilidades de código ni busca datos sensibles.
Amazon Inspector — Escaneo de vulnerabilidades
Inspector realiza evaluaciones automatizadas de seguridad para ayudar a mejorar la seguridad y la conformidad de las aplicaciones desplegadas en AWS.
Qué escanea
Qué encuentra
Trampa de examen
Inspector = vulnerabilidades en el SOFTWARE de tus cargas de trabajo (CVEs, paquetes desactualizados). NO detecta comportamiento anómalo ni datos sensibles en S3.
Amazon Macie — Protección de datos sensibles
Macie es un servicio de seguridad y privacidad de datos que usa machine learning para descubrir y proteger automáticamente datos sensibles en Amazon S3.
Dónde trabaja
Qué detecta (PII)
Trampa de examen
Macie = datos sensibles (PII) EN S3. Cuando el escenario menciona "datos personales", "GDPR", "PCI DSS" + S3, la respuesta es Macie.
AWS Key Management Service (KMS)
Crea y controla las claves de cifrado usadas para cifrar datos en servicios AWS. Integrado con S3, EBS, RDS, DynamoDB, Lambda y más.
AWS Secrets Manager
Almacena, rota y gestiona secretos como credenciales de base de datos, API keys y contraseñas. Elimina credenciales hardcodeadas en el código.
Registra toda actividad de API en tu cuenta AWS
CloudTrail registra cada llamada a la API AWS: quién la hizo, desde qué IP, en qué momento, con qué parámetros y cuál fue el resultado. Es el servicio de auditoría de AWS.
Qué registra
Casos de uso
CloudTrail ≠ CloudWatch
CloudTrail = auditoría de LLAMADAS A API (quién hizo qué). Responde preguntas de "¿quién?" y "¿cuándo?".CloudWatch = monitoreo de MÉTRICAS (CPU, memoria, latencia). Responde preguntas de "¿cómo está funcionando?".
Evalúa, audita y verifica la configuración de recursos AWS
AWS Config registra cómo cambia la configuración de los recursos de AWS a lo largo del tiempo y evalúa si esas configuraciones cumplen con las reglas de compliance de la organización.
Preguntas que responde Config
Config vs CloudTrail
AWS Security Hub
Vista centralizada y unificada de las alertas y hallazgos de seguridad de múltiples servicios AWS (GuardDuty, Inspector, Macie, Config, IAM Access Analyzer).
AWS Artifact
Portal de acceso bajo demanda a reportes de compliance y acuerdos de AWS. Para equipos de auditoría que necesitan documentación de cumplimiento de AWS.
AWS soporta cifrado en dos estados fundamentales que deben estar presentes para una postura de seguridad completa.
Cifrado en reposo (at rest)
Los datos almacenados están cifrados. Si alguien obtiene acceso físico a los discos, no puede leer los datos sin las claves.
Cifrado en tránsito (in transit)
Los datos que se mueven entre sistemas están cifrados. Protege contra ataques de intercepción (man-in-the-middle).
AWS KMS — Key Management Service
Genera y gestiona claves de cifrado simétricas y asimétricas. Integrado con casi todos los servicios AWS que soportan cifrado.
AWS CloudHSM — Hardware Security Module
Módulo de seguridad de hardware dedicado. A diferencia de KMS (multi-tenant), CloudHSM te da control físico exclusivo del hardware donde se almacenan las claves.
KMS = para la mayoría. CloudHSM = cuando la regulación exige control físico de claves (ej: PCI DSS nivel 1 estricto).
AWS Artifact
Portal para descargar reportes de auditoría de AWS y acuerdos de cumplimiento. Gratuito bajo demanda.
AWS Audit Manager
Automatiza la recopilación de evidencia para auditorías. Mapea controles a frameworks de compliance (GDPR, HIPAA, PCI DSS, SOC 2) y genera informes de auditoría.
Estándares de compliance en AWS
| Estándar | Ámbito | AWS soporta |
|---|---|---|
| SOC 1/2/3 | Controles internos, seguridad operacional | Sí — reportes en AWS Artifact |
| ISO 27001 | Gestión de seguridad de la información | Sí — certificación de infraestructura AWS |
| PCI DSS | Datos de tarjetas de pago | Sí — infraestructura AWS es PCI DSS nivel 1 |
| HIPAA | Información de salud (EE.UU.) | Sí — con BAA firmado, servicios elegibles |
| GDPR | Protección de datos personales (UE) | Sí — herramientas y DPA disponibles |
Amazon Detective
Investiga incidentes de seguridad y analiza logs (GuardDuty, CloudTrail, VPC Flow) para encontrar la causa raíz usando análisis de grafos.
AWS Certificate Manager (ACM)
Aprovisiona, gestiona y renueva certificados SSL/TLS de forma gratuita. Se integra con CloudFront, ALB, API Gateway.
AWS Firewall Manager
Gestión centralizada de AWS WAF, Shield Advanced y Security Groups para todas las cuentas en AWS Organizations.
Amazon Cognito
Autenticación de usuarios para aplicaciones web y móviles. User Pools (gestión de usuarios) + Identity Pools (acceso a AWS). También es un servicio de seguridad.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Un equipo de seguridad descubrió que hay buckets de Amazon S3 que contienen archivos con números de tarjetas de crédito y datos personales de clientes. ¿Qué servicio de AWS debería implementarse para detectar y alertar automáticamente sobre este tipo de datos sensibles en S3?