CLF-C02

Deep Dive

Volver a guías
D1Conceptos de nube
¿Qué es la nube AWS? Las 6 ventajasInfraestructura global de AWSWell-Architected Framework y CAFMigración a AWS: estrategias y herramientas
D2Seguridad y cumplimiento
Modelo de responsabilidad compartidaIAM: Identidad y control de accesoServicios de seguridad AWS
D3Tecnología y servicios en la nube
Despliegue y operación en AWSCómputo: EC2, Lambda y contenedoresAlmacenamiento: S3, EBS, EFS y SnowBases de datos: RDS, DynamoDB y másRedes: VPC, Route 53, CloudFrontGestión: CloudWatch, CloudTrail, OrganizationsIA, Machine Learning y AnalíticaOtros servicios AWS en alcance
D4Facturación, precios y soporte
Modelos de precios AWSHerramientas de costos y facturaciónPlanes de soporte AWS
Practicar ahora
D2 · Seguridad y cumplimiento

Modelo de responsabilidad compartida

El modelo de responsabilidad compartida define qué gestiona AWS y qué gestiona el cliente. Es uno de los conceptos más evaluados en el CLF-C02 — aparece en múltiples escenarios donde debes decidir quién es responsable de qué.

Contenido

El modelo de responsabilidad compartida

🏢 AWS — Security OF the cloud

AWS es responsable de la seguridad de la infraestructura que ejecuta todos los servicios en AWS Cloud. Incluye:

  • Hardware físico (servidores, switches, routers)
  • Infraestructura de red global
  • Instalaciones físicas y datacenters
  • Virtualización y hipervisores
  • Software de servicios administrados (RDS engine, Lambda runtime)
  • Seguridad física: biometría, cámaras, guardias

👤 Cliente — Security IN the cloud

El cliente es responsable de la seguridad de todo lo que coloca EN la nube. Incluye:

  • Datos del cliente (cifrado en tránsito y reposo)
  • Gestión de identidad y acceso (IAM: usuarios, roles, políticas)
  • Sistema operativo en EC2 (parches, actualizaciones, antivirus)
  • Aplicaciones desplegadas por el cliente
  • Configuración de red (Security Groups, NACLs)
  • Configuración del firewall a nivel de aplicación

Frase clave para el examen

"Security OF the cloud"

= Responsabilidad de AWS

La infraestructura que EJECUTA los servicios

"Security IN the cloud"

= Responsabilidad del Cliente

Lo que el cliente coloca DENTRO de la nube

IaaS — Servicios no gestionados (EC2)

En IaaS, el cliente tiene el mayor nivel de control y responsabilidad. EC2 es el ejemplo principal.

CapaAWS (Security OF)Cliente (Security IN)
Hardware físico✓ Servidores, CPUs, discos físicos✗ Sin acceso al hardware
Hipervisor / virtualización✓ Hypervisor de AWS, aislamiento de VMs✗ No accede al hipervisor
Red física✓ Switches, routers, cableado✗ No gestiona red física
Sistema operativo✗ Solo provee las AMIs base✓ Parches, actualizaciones, antivirus, hardening del SO
Aplicaciones✗ No sabe qué apps instala el cliente✓ Instalar, configurar, parchear aplicaciones
Datos✗ No accede a los datos del cliente✓ Cifrado, backup, retención, clasificación
Acceso e identidad✗ No gestiona usuarios del cliente✓ IAM, usuarios, roles, políticas, MFA
Security Groups / NACLs✗ No configura por defecto✓ Definir reglas de firewall de red

PaaS — Servicios gestionados (RDS, Lambda)

En PaaS, AWS gestiona más capas. El cliente cede el control del SO y middleware, pero sigue siendo responsable de datos e IAM.

AWS gestiona (RDS como ejemplo)

  • Hardware físico de los servidores de base de datos
  • Sistema operativo del servidor de base de datos
  • Parches del motor de base de datos (MySQL, PostgreSQL)
  • Replicación Multi-AZ automática
  • Backups automatizados
  • Actualizaciones de seguridad del motor

Cliente gestiona (RDS como ejemplo)

  • Datos almacenados en la base de datos
  • Cifrado en tránsito (SSL/TLS para conexiones)
  • Cifrado en reposo (activar opción de encryption at rest)
  • Usuarios y contraseñas de la base de datos
  • Configuración de Security Groups (quién puede conectarse)
  • Backups adicionales y retención de datos

SaaS — S3 y servicios totalmente gestionados

En servicios SaaS como Amazon S3, AWS gestiona prácticamente toda la infraestructura. El cliente solo se preocupa por los datos y los permisos de acceso.

AWS gestiona (S3)

  • • Almacenamiento físico de objetos
  • • Replicación a múltiples AZs (11 nines)
  • • Infraestructura de red y hardware
  • • Disponibilidad del servicio S3
  • • Parches de seguridad de la plataforma S3

Cliente gestiona (S3)

  • • Políticas de bucket y ACLs (quién puede leer/escribir)
  • • Datos cargados en los buckets
  • • Clasificación y retención de datos
  • • Cifrado del lado del servidor (SSE-S3, SSE-KMS)
  • • Configuración de acceso público (nunca activar sin necesidad)

Ejemplos concretos por servicio

Amazon EC2

IaaS

AWS gestiona

Hipervisor, hardware físico, red física, instalaciones

Cliente gestiona

SO (parches), aplicaciones, datos, Security Groups, IAM, cifrado

Trampa de examen

Si tu EC2 es hackeado por vulnerabilidad en el SO sin parchear: responsabilidad del CLIENTE. Si el datacenter físico es inundado: AWS.

Amazon RDS

PaaS (managed)

AWS gestiona

Hardware, SO, motor de BD (parches), Multi-AZ, backups automáticos

Cliente gestiona

Datos en la BD, usuarios de BD, Security Groups, cifrado at rest activado

Trampa de examen

AWS parchea el motor de RDS automáticamente. Tú NO gestionas el SO del servidor RDS.

Amazon S3

SaaS (fully managed)

AWS gestiona

Hardware de almacenamiento, replicación a múltiples AZs, infraestructura S3

Cliente gestiona

Políticas de bucket, ACLs, datos cargados, cifrado, acceso público (desactivar)

Trampa de examen

Si dejas un bucket S3 público y datos sensibles son expuestos: responsabilidad del CLIENTE (configuración incorrecta).

AWS Lambda

Serverless (fully managed)

AWS gestiona

Servidores de función, SO, runtime (Node.js, Python), escalado automático

Cliente gestiona

Código de la función, variables de entorno, roles IAM asignados, datos procesados

Trampa de examen

Lambda: AWS gestiona el servidor pero TÚ eres responsable del código. Una vulnerabilidad en tu código = responsabilidad del cliente.

Trampas frecuentes del examen

¿Quién es responsable del cifrado de datos en S3?

El CLIENTE activa el cifrado y define las políticas de acceso. AWS provee las herramientas de cifrado (SSE-S3, SSE-KMS), pero el cliente decide si las activa y cómo.

¿Quién parchea el SO de una instancia EC2?

El CLIENTE. EC2 es IaaS — AWS solo gestiona el hardware físico. La actualización del SO del guest (Ubuntu, Windows Server) es responsabilidad del cliente.

¿Quién parchea el motor de Amazon RDS?

AWS. RDS es un servicio gestionado (PaaS) — AWS aplica parches al motor de base de datos automáticamente. El cliente NO tiene acceso al SO del servidor RDS.

¿Quién es responsable de la disponibilidad física del datacenter?

AWS. La seguridad física de los datacenters, la redundancia eléctrica y el cooling son 100% responsabilidad de AWS.

¿Quién configura las reglas del Security Group?

El CLIENTE. Los Security Groups son creados y configurados por el cliente. AWS los provee como herramienta, pero la configuración de reglas es del cliente.

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una empresa está usando Amazon RDS con MySQL. El equipo de seguridad quiere saber quién es responsable de aplicar los parches de seguridad al motor de base de datos MySQL. ¿Quién es responsable?