El dominio D3 del SAP-C02 (25%) evalúa mejora continua, y la seguridad a escala organizacional es su eje central. Debes saber diferenciar las herramientas de seguridad, sus casos de uso y cómo funcionan juntas en un pipeline de detección y respuesta.
Contenido
Controles Preventivos — bloquean antes de que ocurra
Controles Detectivos — identifican después de que ocurre
GuardDuty es un servicio de detección de amenazas que usa Machine Learning para analizar fuentes de datos de AWS y detectar comportamientos maliciosos o anómalos. No requiere agentes ni configuración compleja.
Fuentes de datos analizadas
Tipos de hallazgos (Finding Types)
GuardDuty en multi-cuenta con Organizations
Habilitar GuardDuty en toda la organización desde una cuenta Delegated Administrator (generalmente la Security Tooling Account). Los hallazgos de todas las cuentas miembro se agregan en el administrador delegado. Las nuevas cuentas se incorporan automáticamente.
Security Hub agrega hallazgos de múltiples servicios de seguridad de AWS y de terceros en un panel único. Evalúa la postura de seguridad contra estándares como CIS AWS Foundations Benchmark, PCI DSS y AWS Foundational Security Best Practices.
Fuentes de hallazgos (integradas nativas)
Capacidades clave
AWS Config registra el historial de configuración de todos los recursos AWS y evalúa su compliance contra reglas definidas. Responde a: ¿cómo estaba configurado este recurso hace 3 meses? ¿Qué cambió y quién lo cambió?
Config Rules
Config en multi-cuenta
Amazon Macie
Descubre y protege datos sensibles en S3 usando ML. Identifica PII (números de tarjeta, SSN, datos médicos), credenciales, y datos confidenciales. Genera hallazgos cuando encuentra datos sensibles en buckets públicos o compartidos.
Amazon Inspector
Escanea continuamente instancias EC2, imágenes de contenedor en ECR y funciones Lambda en busca de vulnerabilidades de software (CVEs) y deviaciones de mejores prácticas de seguridad de red.
Amazon Detective
Servicio de investigación de incidentes de seguridad. Analiza automáticamente CloudTrail, VPC Flow Logs y GuardDuty para construir un grafo de comportamiento que facilita la investigación forense.
| Servicio | Control de claves | FIPS 140-2 | Mejor para |
|---|---|---|---|
| AWS KMS (AWS Managed Keys) | AWS gestiona rotación y material | Level 2 | Cifrado de recursos AWS sin overhead operacional |
| AWS KMS (Customer Managed Keys) | Tú controlas la política y rotación | Level 2 | Cumplimiento que requiere control de claves propio |
| AWS KMS (Customer-Provided Keys) | Tú importas material de clave | Level 2 | Cumplimiento que requiere material de clave externo |
| CloudHSM | Tú tienes acceso exclusivo al HSM | Level 3 | Cumplimiento estricto (PCI, FIPS L3), offload SSL/TLS |
| Secrets Manager | Gestión de secretos + rotación automática | Usa KMS | Credenciales de DB, API keys con rotación automática |
| SSM Parameter Store | Secretos y configuración (no solo secretos) | Usa KMS | Configuración de apps + secretos sencillos, menor costo |
Trampa: "GuardDuty analiza el contenido de los datos en S3"
Realidad: FALSO. GuardDuty analiza metadatos y logs (CloudTrail, VPC Flow, DNS) — no el contenido de los archivos. Para analizar contenido de datos en S3 (PII) usa Amazon Macie.
Trampa: "AWS Config puede bloquear cambios de configuración no conformes"
Realidad: FALSO. Config es detectivo, no preventivo. Registra y evalúa cambios pero no los bloquea. Para bloquear cambios usa SCPs, IAM Policies o Service Catalog.
Trampa: "Security Hub reemplaza a GuardDuty, Inspector y Macie"
Realidad: FALSO. Security Hub agrega y centraliza los hallazgos de estos servicios — no los reemplaza. Debes habilitar GuardDuty, Inspector, etc. por separado.
Trampa: "CloudHSM y KMS son equivalentes"
Realidad: Son diferentes. KMS es gestionado por AWS (compartido pero con aislamiento criptográfico). CloudHSM te da un HSM dedicado donde tú tienes la única copia de las claves. CloudHSM cumple FIPS 140-2 Level 3 (KMS solo Level 2).
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Un equipo de seguridad necesita: (1) detectar automáticamente si una instancia EC2 en cualquier cuenta de la organización está comunicándose con IPs maliciosas conocidas, (2) ver todos los hallazgos de seguridad de todas las cuentas en un panel centralizado, y (3) recibir una alerta cuando un bucket S3 en producción se configura como público. ¿Qué combinación de servicios satisface los tres requisitos?
Inicia sesión para llevar tu progreso.