Para el SAP-C02, la seguridad de red va mucho más allá de Security Groups y NACLs. Las organizaciones enterprise requieren inspección profunda de paquetes, protección DDoS avanzada, y gobernanza centralizada de políticas de firewall en cientos de cuentas.
Contenido
Capa 1 — Borde (Edge)
Protección DDoS en el borde global. Absorbe tráfico volumétrico antes de llegar a tu infraestructura.
Capa 2 — Red (Network)
Inspección stateful/stateless de paquetes L3-L7 dentro de la VPC. Bloquea IPs, dominios y patrones de tráfico.
Capa 3 — Subred (Subnet)
Control de acceso a nivel de subred (NACL stateless) y a nivel de instancia (SG stateful).
Capa 4 — Aplicación (App)
Protección L7: SQLi, XSS, bots, rate limiting por IP/regla. Integrado con CloudFront, ALB, API Gateway.
Capa 5 — DNS
Bloquea queries DNS a dominios maliciosos antes de que el tráfico salga de la VPC.
AWS Network Firewall es un firewall gestionado stateful con inspección de paquetes a nivel de capa 7 (IDS/IPS). Se despliega en una VPC dedicada de inspección y el tráfico se enruta a través de él via Gateway Load Balancer o tablas de rutas de TGW.
Tipos de reglas
Stateless Rules
Procesadas antes que stateful. Equivalente a ACL — evalúan cada paquete independientemente. Acción: Pass, Drop, Forward-to-stateful.
Stateful Rules
Tracking de flujos de conexión. Soporta: 5-tuple rules, Domain list (bloquear por FQDN/dominio), Suricata IPS rules compatibles.
Domain Lists
Bloquea o permite tráfico hacia listas de dominios. Soporta wildcards (*.malware.com). Para HTTPS usa SNI inspection.
Suricata Rules
Reglas de Suricata IDS/IPS estándar. Permite importar threat intelligence feeds y firmas personalizadas.
Patrones de despliegue
Centralized Inspection (recomendado)
VPC de inspección dedicada con Network Firewall. Transit Gateway enruta todo el tráfico E-W y N-S a través de la VPC de inspección antes de llegar al destino. TGW Appliance Mode para simetría de flujos.
Distributed (por VPC)
Un Network Firewall endpoint en cada VPC. Más simple pero más costoso a escala — cada VPC tiene su propio firewall. Usa Firewall Manager para centralizar las políticas.
TGW Appliance Mode — crítico para stateful
Sin Appliance Mode, el TGW puede enrutar el tráfico de ida y vuelta por diferentes endpoints de Network Firewall — rompiendo el stateful inspection. Con Appliance Mode, TGW mantiene la simetría de flujos.
WAF (Web Application Firewall) protege aplicaciones web contra ataques de capa 7: SQL injection, XSS, bots maliciosos, credential stuffing, y más. Se integra con CloudFront, ALB, API Gateway y AppSync.
| Tipo de regla | Descripción | Caso de uso SAP-C02 |
|---|---|---|
| AWS Managed Rules | Grupos de reglas gestionados por AWS: Core Rule Set (OWASP Top 10), Known Bad Inputs, SQL Database, Linux/Windows OS. | Protección básica sin trabajo de configuración |
| IP Set Rules | Allow/Block basado en listas de IPs o CIDRs. Soporte para IPv4 e IPv6. | Allowlist de IPs corporativas, blocklist de IPs maliciosas |
| Rate-Based Rules | Bloquea IPs que superan N requests en 5 minutos. Protege contra brute force, credential stuffing. | Proteger login endpoint de ataques de fuerza bruta |
| Geo Match Rules | Filtra tráfico por país de origen. Útil para compliance (GDPR, restricciones geográficas). | Bloquear regiones no operadas o no permitidas por compliance |
| Label Match Rules | Reglas que actúan basadas en labels asignados por otras reglas en la misma WAF. | Lógica de reglas compleja: si regla A matchea Y regla B → block |
| Bot Control | Identificar y gestionar bots: bloquear bots maliciosos, permitir bots legítimos (Googlebot). | Separar tráfico de crawlers legítimos de scrapers maliciosos |
WAF con CloudFront (Edge)
WAF actúa en los edge locations de CloudFront — bloquea el tráfico malicioso antes de llegar a la región AWS. Latencia mínima para bloqueos. Requiere WAF en us-east-1 para CloudFront global.
WAF Logging y análisis
WAF logs a Kinesis Firehose → S3, CloudWatch Logs o Security Hub. Usa Athena para analizar patrones de ataque. WAF traffic sampling en la consola para debugging de reglas.
Shield Standard vs Shield Advanced
Shield Standard (incluido gratis)
Shield Advanced ($3,000/mes + tráfico)
Cuándo Shield Advanced en el examen
"Si hay un ataque DDoS durante el pico, el costo puede dispararse"
→ Shield Advanced incluye créditos de costo — AWS cubre el costo extra de recursos utilizados para absorber el ataque.
"Necesitamos soporte experto durante ataques activos"
→ DRT (DDoS Response Team) de AWS disponible 24/7 con acceso directo para mitigación.
"Queremos ver métricas del ataque en tiempo real"
→ Shield Advanced expone métricas de DDoS en CloudWatch: DDoSDetected, DDoSAttackBitsPerSecond, etc.
"La app usa Game servers con UDP que deben sobrevivir DDoS"
→ Shield Advanced con EC2 + Global Accelerator para proteger UDP en aplicaciones de gaming.
DNS Firewall permite crear listas de dominios bloqueados/permitidos que se aplican a todas las queries DNS que salen de tu VPC. Detecta y bloquea comunicación con dominios de C2 (command and control) antes de que el tráfico TCP/UDP se establezca.
Domain Lists
Listas de FQDNs con wildcard (*.malware.com). AWS proporciona listas gestionadas de dominios maliciosos conocidos.
Rule Groups
Agrupación de reglas (Block, Allow, Alert). Se asocian a una VPC. Múltiples rule groups por VPC con prioridad.
Fail Open/Closed
Si DNS Firewall no está disponible: Fail Open (permite queries, mayor disponibilidad) vs Fail Closed (bloquea queries, mayor seguridad).
Route 53 Resolver permite resolver DNS entre VPCs y on-premises. Las Resolver Rules definen qué queries DNS se reenvían a qué servidores DNS.
| Tipo de regla | Función | Caso de uso |
|---|---|---|
| Forward Rules | Reenvía queries de dominios específicos a servidores DNS on-premises (via Resolver Inbound/Outbound Endpoints) | corp.example.com → DNS on-premises del AD corporativo |
| System Rules | Creadas automáticamente por AWS para private hosted zones y split-horizon DNS. No modificables. | Resolución de VPC DNS nativos (.amazonaws.com, etc.) |
| Recursive Rules | El DNS de AWS (169.254.169.253) resuelve dominios públicos si no hay otra regla que aplique. | Resolución de dominios públicos de internet |
Resolver Rules + RAM para multi-cuenta
Las Resolver Rules se pueden compartir con todas las cuentas de la org via AWS RAM. Así, una sola Forward Rule centralizada en la cuenta de Network permite que todas las cuentas resuelvan dominios on-premises sin configurar endpoints en cada VPC.
Firewall Manager gestiona de forma centralizada las políticas de WAF, Shield Advanced, Security Groups, Network Firewall y DNS Firewall en todas las cuentas de la organización. Es el pegamento que une todas las herramientas de seguridad de red.
Qué gestiona Firewall Manager
Requisitos de Firewall Manager
Trampa: "WAF bloquea ataques DDoS volumétricos L3/L4"
Realidad: FALSO. WAF opera en L7 (HTTP/S) — protege contra SQLi, XSS, etc. Para DDoS volumétrico (floods de paquetes) usa Shield. Son complementarios: Shield absorbe el volumen, WAF filtra el contenido.
Trampa: "Network Firewall puede desplegarse directamente en una subnet sin VPC dedicada"
Realidad: Network Firewall requiere sus propios endpoints (uno por AZ). El patrón correcto es una VPC de inspección dedicada con subnets de firewall donde se crean los endpoints.
Trampa: "AWS Config es requerido por WAF para funcionar"
Realidad: AWS Config es requerido por Firewall Manager (para evaluar compliance de políticas), no por WAF directamente. WAF funciona sin Config.
Trampa: "Shield Advanced está incluido gratis con Shield Standard"
Realidad: FALSO. Shield Standard está incluido gratis. Shield Advanced tiene un costo fijo de $3,000/mes + costos de transferencia de datos, con mínimo de 1 año de compromiso.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Una empresa tiene 150 cuentas AWS en Organizations. El CISO requiere que todos los ALBs y CloudFront distributions en todas las cuentas tengan un conjunto base de reglas WAF (OWASP Top 10 + bloqueo de geo-restricciones específicas), y que cualquier nuevo ALB creado en el futuro también reciba estas reglas automáticamente sin intervención manual. ¿Cuál es la solución correcta?
Inicia sesión para llevar tu progreso.