SAA-C03
Deep Dive
La seguridad de red en AWS tiene múltiples capas: desde Security Groups que protegen instancias, hasta GuardDuty que detecta amenazas avanzadas. El examen frecuentemente presenta escenarios donde debes elegir la capa correcta.
Contenido
Security Groups y NACLs son las dos capas de firewall en una VPC. El examen distingue entre ellos con frecuencia — necesitas saber las diferencias exactas.
| Característica | Security Groups | Network ACLs |
|---|---|---|
| Nivel de operación | Instancia (EC2, RDS, Lambda en VPC) | Subnet completa |
| Estado | Stateful: respuesta automática permitida | Stateless: reglas de entrada Y salida |
| Reglas | Solo Allow. Sin Deny explícito. | Allow Y Deny. Prioridad por número de regla. |
| Evaluación | Todas las reglas evaluadas juntas | Evaluadas en orden numérico ascendente |
| Aplicación | Múltiples SGs por instancia | Un NACL por subnet |
| Default | Deniega todo ingreso, permite todo egreso | Permite todo ingreso y egreso |
Security Groups — stateful
Si permites tráfico entrante en el puerto 443, la respuesta de salida se permite automáticamente. El SG recuerda el estado de la conexión. Solo necesitas regla inbound.
NACLs — stateless
Debes crear reglas para ambas direcciones. Si permites entrada en puerto 443, también debes permitir salida en puertos efímeros (1024-65535) para que la respuesta pueda salir.
Trampa de examen más frecuente
"Bloquear una IP específica": Los Security Groups NO tienen reglas Deny — solo Allow. Para bloquear una IP específica, debes usar un NACL con una regla Deny a nivel de subnet.
Los VPC Endpoints permiten conectar tu VPC a servicios AWS sin tráfico por internet, sin necesitar Internet Gateway, NAT Gateway ni VPN. Reducen costos y mejoran la seguridad.
Gateway Endpoint
GratisServicios: S3 y DynamoDB (únicos)
Entrada en la tabla de rutas de la subnet. Tráfico a S3/DynamoDB se redirige automáticamente.
Examen
Cuando Lambda/EC2 accede a S3 sin NAT Gateway = Gateway Endpoint. Gratis + sin tráfico por internet.
Interface Endpoint (PrivateLink)
Costo por usoServicios: Todos los demás (SQS, SNS, KMS, EC2 API, CloudWatch, etc.)
Crea una ENI (Elastic Network Interface) en la subnet con una IP privada. DNS resuelve al endpoint.
Examen
Costo adicional por hora + por GB de datos. Para servicios que no sean S3/DynamoDB.
| Servicio | Capa OSI | Qué protege | Cuándo usar |
|---|---|---|---|
| AWS WAF | L7 (HTTP) | CloudFront, ALB, API GW, AppSync | SQL injection, XSS, bots, rate limiting |
| Shield Standard | L3/L4 | Todos los recursos AWS | Protección DDoS básica — gratuita y automática |
| Shield Advanced | L3/L4/L7 | EC2, ELB, CloudFront, Route 53 | DDoS 24/7, soporte DRT, reembolso por escala |
| Network Firewall | L3-L7 | VPC completa | Inspección de tráfico VPC con reglas stateful |
Amazon GuardDuty
Detección de amenazas con ML. Analiza VPC Flow Logs, CloudTrail, DNS logs.
Se activa globalmente. No requiere agentes. Genera Findings que se pueden enviar a EventBridge.
Amazon Inspector
Escaneo de vulnerabilidades en EC2 e imágenes de contenedores (ECR).
Integra con AWS Security Hub. Genera reportes de vulnerabilidades con puntuación CVSS.
Amazon Macie
Descubre y protege datos sensibles en S3 usando ML.
Genera findings sobre buckets públicos o sin cifrar que contengan datos sensibles.
Subred Pública
ALB, NAT Gateway, Bastion Host
Mínima exposición. Solo lo que DEBE ser accesible desde internet.
Subred Privada
EC2, ECS, Lambda en VPC
Sin ruta directa a internet. Salen vía NAT Gateway en subred pública.
Subred Aislada (DB)
RDS, ElastiCache, Secrets Manager endpoints
Sin rutas a internet ni a otras redes. Solo tráfico desde subred privada.
Capas de seguridad: IGW, subredes pública/privada/aislada, SG y NACLs.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Una empresa quiere que sus instancias EC2 en subnets privadas puedan acceder a S3 sin salir a internet. El equipo de seguridad también quiere bloquear una IP maliciosa conocida que intenta acceder a sus subnets. ¿Qué combinación de servicios cumple ambos requisitos?