Ruta CLF-C02Dominio 2 · Seguridad y cumplimientoServicios de seguridad AWS para CLF-C02

Guía AWS Cloud Practitioner CLF-C02

31 módulos4 dominios
Preparación1
Dominio 12
Dominio 23
Dominio 34
Dominio 45
Estás en:
Preparación
Resumen del curso Estrategia de examen AWS CLF-C02
Dominio 1 · Conceptos cloud
Dominio 1 · Conceptos cloud Beneficios de cloud: agilidad, elasticidad, pago por uso y economía de escala Infraestructura global AWS: regiones, zonas de disponibilidad y edge locations AWS Well-Architected Framework: los pilares que debes dominar Migración a AWS: CAF, estrategias 7R, DMS, MGN y Snow Family
Dominio 2 · Seguridad y cumplimiento
Dominio 2 · Seguridad y cumplimiento Modelo de responsabilidad compartida IAM en AWS: identidades, permisos, roles, políticas y MFA Cifrado y protección de datos en AWS Servicios de seguridad AWS para CLF-C02 Monitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config AWS Organizations, cuentas y SCP para CLF-C02 Compliance, AWS Artifact y gobierno en AWS
Dominio 3 · Tecnología y servicios AWS
Dominio 3 · Tecnología y servicios AWS Amazon EC2, Auto Scaling y Elastic Load Balancing Amazon VPC: redes básicas en AWS para CLF-C02 Amazon S3: almacenamiento de objetos, clases, versioning, lifecycle y Glacier EBS, EFS, AWS Backup y Storage Gateway para CLF-C02 CloudFront, Route 53 y servicios edge para CLF-C02 Bases de datos AWS: RDS, Aurora, DynamoDB, Redshift y más Serverless y contenedores: Lambda, ECS, EKS y Fargate Integración de aplicaciones: SQS, SNS, EventBridge, API Gateway y Step Functions Herramientas de gestión y despliegue en AWS Analítica e IA básica en AWS: Athena, Glue, QuickSight, Kinesis y SageMaker Machine Learning e IA en AWS para CLF-C02
Dominio 4 · Facturación, precios y soporte
Dominio 4 · Facturación, precios y soporte Facturación, precios y soporte en AWS Optimización de costes en AWS para CLF-C02 Soporte, documentación y recursos de aprendizaje AWS para CLF-C02
Módulo 10 de 29 · Dominio 2 · Seguridad y cumplimiento

Servicios de seguridad AWS para CLF-C02

◷ 18 min

AWS tiene muchos servicios relacionados con seguridad. Para el examen AWS Cloud Practitioner CLF-C02 no necesitas configurarlos como un especialista de ciberseguridad, pero sí debes saber reconocerlos por su función. El examen suele preguntarte algo como: “una empresa quiere proteger una aplicación web”, “quiere detectar amenazas”, “quiere encontrar datos sensibles en S3” o “quiere centralizar hallazgos de seguridad”. En cada caso, hay un servicio que encaja mejor.

Este módulo es importante porque conecta con varias ideas del dominio de seguridad: responsabilidad compartida, mínimo privilegio, cifrado, auditoría, protección de datos, gobierno y detección. No lo estudies como una lista de nombres sueltos. Estúdialo como una caja de herramientas: cada servicio tiene una misión.

Idea clave: en preguntas de seguridad, primero identifica el problema: ¿proteger una web?, ¿DDoS?, ¿detectar amenazas?, ¿buscar vulnerabilidades?, ¿encontrar datos sensibles?, ¿centralizar hallazgos?, ¿gestionar certificados?, ¿proteger secretos? La palabra clave del escenario suele llevarte al servicio correcto.

Objetivos de aprendizaje

Protección web y DDoS

Diferenciar AWS WAF, AWS Shield y AWS Firewall Manager según el tipo de protección que pide el escenario.

Detección y análisis

Reconocer GuardDuty, Inspector, Macie y Detective por su función: amenazas, vulnerabilidades, datos sensibles e investigación.

Centralización y postura

Entender Security Hub como punto de agregación de hallazgos y evaluación de buenas prácticas.

Escenarios CLF-C02

Practicar cómo razonar preguntas donde aparecen seguridad web, actividad sospechosa, datos personales, certificados, secretos o cumplimiento.

1. Antes de memorizar servicios: piensa en capas de seguridad

Una arquitectura en AWS puede necesitar seguridad en varias capas. No todos los servicios protegen lo mismo. Algunos filtran tráfico web, otros detectan amenazas, otros revisan vulnerabilidades, otros ayudan a encontrar datos sensibles y otros centralizan alertas.

Una forma sencilla de organizarlo es esta:

  • Identidad y permisos: IAM, IAM Identity Center, roles, políticas y MFA.
  • Protección de red y aplicaciones: AWS WAF, AWS Shield, security groups, NACLs y Firewall Manager.
  • Detección de amenazas: Amazon GuardDuty.
  • Análisis de vulnerabilidades: Amazon Inspector.
  • Protección y descubrimiento de datos: Amazon Macie, KMS, Secrets Manager.
  • Auditoría y trazabilidad: CloudTrail, AWS Config, CloudWatch.
  • Centralización de hallazgos: AWS Security Hub.

En este módulo nos centramos en los servicios de seguridad que suelen aparecer como respuestas directas en el examen.

2. AWS WAF

AWS WAF es un firewall de aplicaciones web. Su función es filtrar tráfico HTTP y HTTPS hacia aplicaciones web. Puede ayudar a bloquear patrones comunes de ataque como SQL injection, cross-site scripting, bots no deseados o peticiones que incumplen reglas definidas.

Piensa en WAF cuando el escenario hable de proteger una aplicación web, una API o una distribución de CloudFront frente a tráfico malicioso de capa aplicación.

WAF puede asociarse a servicios como Amazon CloudFront, Application Load Balancer, Amazon API Gateway y AWS AppSync. Para CLF-C02 no necesitas configurar reglas, pero sí saber que trabaja en el tráfico web y permite crear reglas para permitir, bloquear o contar peticiones.

Escenario tipo examen

Una empresa tiene una aplicación web pública y quiere protegerla frente a patrones como SQL injection y cross-site scripting. La respuesta más probable es AWS WAF.

3. AWS Shield

AWS Shield es el servicio de protección frente a ataques DDoS. Un ataque DDoS intenta saturar un servicio enviando mucho tráfico desde múltiples orígenes. AWS Shield ayuda a proteger aplicaciones frente a este tipo de ataques.

Para el examen, la palabra clave es muy clara: si aparece DDoS, piensa en AWS Shield. AWS Shield Standard está incluido automáticamente para los clientes de AWS. AWS Shield Advanced ofrece protección adicional, soporte especializado y capacidades más avanzadas para escenarios de mayor criticidad.

No confundas Shield con WAF. Shield se asocia a DDoS. WAF se asocia a reglas web y ataques de capa aplicación como SQL injection o XSS.

Regla rápida: SQL injection o XSS = AWS WAF. DDoS = AWS Shield.

4. AWS Firewall Manager

AWS Firewall Manager ayuda a administrar reglas de seguridad de forma centralizada en varias cuentas y recursos. Es especialmente útil en organizaciones con muchas cuentas AWS donde se quieren aplicar políticas comunes de WAF, Shield Advanced, security groups u otros controles de red y aplicación.

Para CLF-C02, piensa en Firewall Manager cuando el escenario diga que la empresa tiene varias cuentas y quiere administrar reglas de firewall o políticas de protección de forma centralizada.

Ejemplo sencillo

Una organización tiene muchas cuentas AWS y quiere aplicar reglas WAF comunes en todas sus aplicaciones públicas desde una gestión centralizada. AWS Firewall Manager encaja mejor que configurar cada cuenta a mano.

5. Amazon GuardDuty

Amazon GuardDuty es un servicio de detección inteligente de amenazas. Analiza señales y registros para identificar actividad sospechosa, comportamiento anómalo o posibles amenazas en la cuenta AWS.

GuardDuty puede detectar cosas como credenciales comprometidas, actividad inusual, comunicación con direcciones maliciosas, comportamientos sospechosos en cargas de trabajo o posibles señales de ataque.

Para el examen, GuardDuty suele aparecer cuando el requisito es detectar amenazas o actividad sospechosa. No es un firewall y no es una herramienta de análisis de vulnerabilidades. Su función principal es detectar comportamiento potencialmente malicioso.

Pista de examen: si el enunciado dice “threat detection”, “actividad sospechosa”, “comportamiento anómalo” o “posibles credenciales comprometidas”, piensa en GuardDuty.

6. Amazon Inspector

Amazon Inspector se centra en análisis de vulnerabilidades. Ayuda a identificar vulnerabilidades de software y exposición no deseada en cargas compatibles. La idea es revisar si tus workloads tienen paquetes vulnerables, configuraciones de riesgo o problemas conocidos que deban corregirse.

La diferencia clave con GuardDuty es que Inspector mira vulnerabilidades y exposición; GuardDuty mira señales de amenaza y actividad sospechosa.

Para CLF-C02, asocia Inspector con estas palabras:

  • Vulnerabilidades.
  • Paquetes con fallos conocidos.
  • Escaneo de workloads.
  • Exposición de red.
  • Evaluación de seguridad técnica.

Escenario tipo examen

Una empresa quiere identificar vulnerabilidades en sus cargas de trabajo y saber qué paquetes pueden tener problemas conocidos. La respuesta más probable es Amazon Inspector.

7. Amazon Macie

Amazon Macie ayuda a descubrir y proteger datos sensibles, especialmente en Amazon S3. Puede identificar información personal o datos sensibles, como PII, dentro de buckets S3.

Macie no es un firewall, no es un servicio para detectar DDoS y no es el servicio general para cualquier problema de seguridad. Su pista principal es datos sensibles, información personal, PII o descubrimiento de datos en S3.

En el examen, si una empresa necesita saber si tiene datos personales almacenados en S3 o quiere identificar datos sensibles, Macie suele ser la respuesta más clara.

Regla rápida: datos sensibles en S3 = Amazon Macie.

8. AWS Security Hub

AWS Security Hub centraliza hallazgos de seguridad de varios servicios y ayuda a evaluar la postura de seguridad. Piensa en Security Hub como un panel donde se agregan findings de servicios como GuardDuty, Inspector, Macie y otros, junto con controles de buenas prácticas.

Security Hub no sustituye a todos los servicios de seguridad. No detecta por sí solo todo lo que detecta GuardDuty ni escanea vulnerabilidades como Inspector. Su valor está en agregar, organizar, priorizar y dar una vista centralizada.

Para CLF-C02, piensa en Security Hub cuando el escenario hable de:

  • Centralizar hallazgos de seguridad.
  • Ver postura de seguridad en una ubicación común.
  • Agregar findings de varios servicios.
  • Evaluar controles y buenas prácticas.
  • Priorizar problemas de seguridad.

Escenario tipo examen

Una empresa usa GuardDuty, Inspector y Macie, pero quiere una vista centralizada de hallazgos para priorizar problemas de seguridad. La respuesta más probable es AWS Security Hub.

9. Amazon Detective

Amazon Detective ayuda a investigar hallazgos de seguridad. Mientras GuardDuty puede detectar una amenaza y Security Hub puede centralizar el hallazgo, Detective ayuda a analizar relaciones, actividad y contexto para entender qué ha pasado.

Para CLF-C02 puede aparecer menos que WAF, Shield, GuardDuty o Macie, pero conviene reconocerlo. Si el escenario habla de investigar la causa raíz de un hallazgo o analizar actividad relacionada con una amenaza, Detective puede ser relevante.

10. AWS Secrets Manager

AWS Secrets Manager sirve para almacenar, gestionar y rotar secretos, como contraseñas de bases de datos, tokens o claves de API. Su objetivo es evitar que los secretos estén escritos directamente en código, ficheros o variables mal gestionadas.

Para el examen, asocia Secrets Manager con:

  • Guardar secretos de forma segura.
  • Rotar credenciales automáticamente.
  • Evitar contraseñas hardcodeadas.
  • Proteger credenciales de bases de datos o APIs.

No lo confundas con KMS. KMS gestiona claves criptográficas para cifrado. Secrets Manager gestiona secretos de aplicación y puede usar KMS por debajo para cifrarlos.

11. AWS Certificate Manager

AWS Certificate Manager, o ACM, ayuda a aprovisionar, gestionar y renovar certificados SSL/TLS. Si una aplicación web necesita HTTPS con certificados gestionados, ACM suele ser el servicio adecuado.

Para CLF-C02, la pista suele ser: certificados SSL/TLS, HTTPS, renovar certificados o gestionar certificados para servicios como CloudFront, Elastic Load Balancing o API Gateway.

12. AWS KMS en el contexto de seguridad

AWS Key Management Service, o KMS, se usa para crear y gestionar claves criptográficas. Ya lo has visto en el módulo de cifrado, pero aquí conviene recordarlo porque aparece mucho en preguntas de seguridad.

Si el requisito es cifrar datos, controlar claves o usar claves gestionadas por AWS o por el cliente, piensa en KMS. Si el requisito es guardar contraseñas y rotarlas, piensa en Secrets Manager.

13. Comparativa principal para CLF-C02

ServicioQué hacePista típica de examen
AWS WAFFiltra tráfico web HTTP/S mediante reglas.SQL injection, XSS, reglas web, protección de aplicación web.
AWS ShieldProtege frente a ataques DDoS.DDoS, denegación de servicio distribuida, protección ante tráfico masivo malicioso.
AWS Firewall ManagerAdministra políticas de firewall y protección en varias cuentas.Gestión centralizada de reglas WAF o políticas de seguridad en múltiples cuentas.
Amazon GuardDutyDetecta amenazas y actividad sospechosa.Threat detection, comportamiento anómalo, credenciales comprometidas, actividad maliciosa.
Amazon InspectorAnaliza vulnerabilidades y exposición.Vulnerabilidades, paquetes con CVEs, escaneo de workloads.
Amazon MacieDescubre datos sensibles, especialmente en S3.PII, datos personales, datos sensibles en buckets S3.
AWS Security HubCentraliza hallazgos y postura de seguridad.Vista agregada de findings, priorización, controles de buenas prácticas.
Amazon DetectiveAyuda a investigar hallazgos y relaciones de actividad.Investigación, causa raíz, análisis de actividad sospechosa.
AWS Secrets ManagerAlmacena y rota secretos.Contraseñas, tokens, secretos de aplicación, rotación de credenciales.
AWS Certificate ManagerGestiona certificados SSL/TLS.HTTPS, certificados, renovación, TLS.
AWS KMSGestiona claves criptográficas.Cifrado, claves, control de claves, protección de datos.

14. WAF, Shield y Firewall Manager: cómo no confundirlos

Estos tres servicios suelen confundirse porque todos suenan a “protección”. La diferencia está en el tipo de protección y en el alcance.

  • AWS WAF: protege aplicaciones web filtrando peticiones HTTP/S.
  • AWS Shield: protege frente a ataques DDoS.
  • AWS Firewall Manager: administra políticas de protección de forma centralizada en varias cuentas.

Un ejemplo sencillo: si tienes una aplicación web pública y quieres bloquear SQL injection, usas WAF. Si quieres protección contra DDoS, piensas en Shield. Si tienes muchas cuentas y quieres aplicar reglas WAF de forma centralizada, Firewall Manager puede ser la opción.

15. GuardDuty, Inspector y Macie: la regla de las tres palabras

Estos tres servicios también se confunden mucho. Para CLF-C02 puedes usar esta regla:

  • Amenaza: GuardDuty.
  • Vulnerabilidad: Inspector.
  • Dato sensible: Macie.

Si aprendes esta diferencia, vas a acertar muchas preguntas del dominio de seguridad.

Regla rápida: actividad sospechosa = GuardDuty. Vulnerabilidades = Inspector. Datos sensibles en S3 = Macie.

16. Security Hub no es lo mismo que GuardDuty

Security Hub no sustituye a GuardDuty. GuardDuty detecta amenazas. Security Hub centraliza hallazgos. Es decir, GuardDuty puede generar un finding y Security Hub puede ayudarte a verlo junto a findings de otros servicios.

En una organización real pueden trabajar juntos:

  • GuardDuty detecta actividad sospechosa.
  • Inspector detecta vulnerabilidades.
  • Macie detecta datos sensibles expuestos o mal ubicados.
  • Security Hub agrega y prioriza esos hallazgos.
  • Detective ayuda a investigar lo ocurrido.

17. Ejemplo completo de arquitectura de seguridad

Imagina una empresa con una aplicación web pública, APIs, buckets S3 y varias cuentas AWS. Una estrategia de seguridad podría usar varios servicios:

  • AWS WAF para filtrar tráfico malicioso hacia la aplicación web.
  • AWS Shield para protección DDoS.
  • GuardDuty para detectar actividad sospechosa en la cuenta.
  • Inspector para detectar vulnerabilidades en workloads.
  • Macie para encontrar datos sensibles en S3.
  • Security Hub para centralizar hallazgos.
  • Secrets Manager para guardar credenciales de aplicación.
  • KMS para gestionar claves de cifrado.
  • CloudTrail para auditoría de llamadas API.
  • AWS Config para evaluar configuración y cumplimiento.

El examen no te pedirá diseñar todo esto con detalle, pero sí puede preguntarte qué servicio resuelve una parte concreta.

18. Servicios de seguridad y modelo de responsabilidad compartida

Es importante entender que AWS proporciona herramientas de seguridad, pero el cliente debe usarlas correctamente. Por ejemplo, AWS te ofrece IAM, WAF, KMS, Macie o GuardDuty, pero tú decides políticas, permisos, configuración, cifrado, alertas y respuesta.

En otras palabras: que exista un servicio de seguridad no significa que tu entorno esté protegido automáticamente. Debes habilitarlo, configurarlo y operar sobre sus resultados según el caso.

Escenario tipo examen

Una empresa pregunta si AWS es responsable de configurar sus reglas WAF, revisar sus hallazgos de GuardDuty y clasificar sus datos sensibles. La respuesta conceptual es que AWS proporciona servicios para ayudar, pero el cliente sigue siendo responsable de configurar y usar correctamente esos controles dentro de su entorno.

19. Servicios que suelen aparecer cerca de este tema

Además de los servicios principales de este módulo, hay otros que aparecen conectados a seguridad:

  • IAM: identidades, permisos, roles, políticas y MFA.
  • CloudTrail: auditoría de actividad API.
  • CloudWatch: métricas, logs y alarmas.
  • AWS Config: historial y evaluación de configuración.
  • AWS Organizations: gobierno multi-cuenta.
  • Service Control Policies: límites máximos de permisos en cuentas de una organización.
  • AWS Artifact: acceso a informes de cumplimiento y acuerdos.
  • VPC security groups: firewall a nivel de recurso.
  • Network ACLs: control a nivel de subred.

No los mezcles: cada uno responde a una necesidad diferente.

20. Cómo razonar preguntas del examen

Cuando veas una pregunta de servicios de seguridad, sigue este orden mental:

  • Primero: identifica qué se quiere proteger o detectar.
  • Segundo: busca la palabra clave del escenario.
  • Tercero: elimina servicios que sean de otra categoría.
  • Cuarto: elige el servicio más específico.

Ejemplo: si el escenario dice “identificar datos personales en buckets S3”, no elijas GuardDuty solo porque sea de seguridad. El servicio más específico es Macie. Si dice “detectar actividad sospechosa”, no elijas Macie; el servicio más específico es GuardDuty.

21. Escenarios típicos de examen

Escenario 1: protección contra SQL injection

Una aplicación web pública necesita bloquear peticiones maliciosas con patrones de SQL injection y XSS. La respuesta más probable es AWS WAF.

Escenario 2: protección DDoS

Una empresa quiere proteger su aplicación frente a ataques de denegación de servicio distribuido. La respuesta más probable es AWS Shield.

Escenario 3: actividad sospechosa

Una organización quiere detectar actividad anómala, posibles credenciales comprometidas o comunicación con destinos maliciosos. La respuesta más probable es Amazon GuardDuty.

Escenario 4: vulnerabilidades

Una empresa quiere saber si sus workloads tienen vulnerabilidades conocidas en paquetes o exposición de red. La respuesta más probable es Amazon Inspector.

Escenario 5: datos sensibles en S3

Una empresa necesita descubrir si hay datos personales o sensibles dentro de buckets S3. La respuesta más probable es Amazon Macie.

Escenario 6: hallazgos centralizados

Una empresa usa varios servicios de seguridad y quiere una vista agregada de findings y postura de seguridad. La respuesta más probable es AWS Security Hub.

Escenario 7: secretos de aplicación

Un equipo quiere almacenar contraseñas de base de datos y rotarlas automáticamente sin dejarlas en el código. La respuesta más probable es AWS Secrets Manager.

Escenario 8: certificados HTTPS

Una aplicación necesita certificados SSL/TLS gestionados para ofrecer HTTPS. La respuesta más probable es AWS Certificate Manager.

22. Errores típicos

  • Elegir Shield para SQL injection: Shield es para DDoS; SQL injection apunta a WAF.
  • Elegir WAF para cualquier ataque: WAF protege tráfico web HTTP/S, pero no sustituye todos los controles de seguridad.
  • Confundir GuardDuty con Inspector: GuardDuty detecta amenazas; Inspector analiza vulnerabilidades.
  • Usar Macie como respuesta genérica de seguridad: Macie se centra en datos sensibles, especialmente en S3.
  • Pensar que Security Hub detecta todo por sí mismo: Security Hub centraliza hallazgos, pero se apoya en otros servicios.
  • Confundir KMS con Secrets Manager: KMS gestiona claves; Secrets Manager gestiona secretos.
  • Olvidar CloudTrail: si la pregunta es “quién hizo qué llamada API”, el servicio clave es CloudTrail, no GuardDuty.
  • Olvidar AWS Config: si la pregunta habla de configuración, historial de cambios o cumplimiento de reglas, piensa en Config.

23. Tabla de decisión rápida

Necesidad del escenarioServicio más probablePor qué
Bloquear SQL injection o XSS en una aplicación web.AWS WAFFiltra tráfico web HTTP/S mediante reglas.
Proteger frente a DDoS.AWS ShieldServicio orientado a denegación de servicio distribuida.
Aplicar reglas WAF en múltiples cuentas.AWS Firewall ManagerGestión centralizada de políticas de firewall.
Detectar actividad sospechosa o amenazas.Amazon GuardDutyDetección inteligente de amenazas.
Encontrar vulnerabilidades en workloads.Amazon InspectorAnálisis de vulnerabilidades y exposición.
Descubrir datos sensibles en S3.Amazon MacieIdentificación y clasificación de datos sensibles.
Centralizar hallazgos de seguridad.AWS Security HubAgrega findings y postura de seguridad.
Investigar un hallazgo de seguridad.Amazon DetectiveAyuda a analizar actividad y relaciones.
Guardar y rotar contraseñas o tokens.AWS Secrets ManagerGestión segura de secretos.
Gestionar certificados SSL/TLS.AWS Certificate ManagerAprovisionamiento y renovación de certificados.
Gestionar claves de cifrado.AWS KMSCreación y control de claves criptográficas.
Consejo para aprobar: no respondas “el servicio de seguridad que te suene”. Responde el servicio que encaja con el verbo del enunciado: bloquear web, proteger DDoS, detectar amenaza, analizar vulnerabilidad, descubrir datos sensibles, centralizar findings o gestionar secretos.

Test del módulo · 14 preguntas

1. Una empresa quiere proteger una aplicación web frente a SQL injection y cross-site scripting. ¿Qué servicio encaja mejor?
  1. AWS WAF
  2. AWS Budgets
  3. AWS DMS
  4. Amazon EFS
Ver respuesta y explicación

Respuesta: A. AWS WAF filtra tráfico web HTTP/S y permite bloquear patrones como SQL injection o XSS.

2. ¿Qué servicio se asocia directamente con protección frente a ataques DDoS?
  1. AWS Shield
  2. Amazon Athena
  3. AWS Config
  4. AWS Artifact
Ver respuesta y explicación

Respuesta: A. AWS Shield está orientado a protección contra ataques de denegación de servicio distribuida.

3. Una empresa quiere detectar actividad sospechosa, comportamiento anómalo y posibles amenazas en su cuenta AWS. ¿Qué servicio ayuda?
  1. Amazon GuardDuty
  2. AWS Pricing Calculator
  3. Amazon Route 53
  4. AWS CAF
Ver respuesta y explicación

Respuesta: A. GuardDuty detecta amenazas y actividad sospechosa.

4. ¿Qué servicio ayuda a identificar datos sensibles o información personal en buckets de S3?
  1. Amazon Macie
  2. AWS Migration Hub
  3. Amazon CloudFront
  4. AWS Organizations
Ver respuesta y explicación

Respuesta: A. Macie ayuda a descubrir y clasificar datos sensibles, especialmente en S3.

5. ¿Qué servicio centraliza hallazgos de seguridad de varios servicios AWS?
  1. AWS Security Hub
  2. AWS Snowball
  3. Amazon EC2
  4. Amazon RDS
Ver respuesta y explicación

Respuesta: A. Security Hub agrega findings y ayuda a evaluar la postura de seguridad.

6. Una empresa quiere analizar vulnerabilidades conocidas en sus workloads. ¿Qué servicio encaja mejor?
  1. Amazon Inspector
  2. AWS Shield
  3. Amazon Polly
  4. AWS Pricing Calculator
Ver respuesta y explicación

Respuesta: A. Inspector se asocia con análisis de vulnerabilidades y exposición.

7. Una organización tiene múltiples cuentas y quiere administrar reglas WAF de forma centralizada. ¿Qué servicio puede ayudar?
  1. AWS Firewall Manager
  2. Amazon Translate
  3. AWS DMS
  4. Amazon EBS
Ver respuesta y explicación

Respuesta: A. Firewall Manager ayuda a gestionar políticas de firewall y protección en varias cuentas.

8. Una aplicación necesita almacenar contraseñas de base de datos de forma segura y rotarlas. ¿Qué servicio usarías?
  1. AWS Secrets Manager
  2. Amazon CloudFront
  3. AWS Snowball
  4. AWS Artifact
Ver respuesta y explicación

Respuesta: A. Secrets Manager almacena y permite rotar secretos como contraseñas o tokens.

9. Una web necesita certificados SSL/TLS gestionados para usar HTTPS. ¿Qué servicio encaja?
  1. AWS Certificate Manager
  2. Amazon Macie
  3. AWS Budgets
  4. Amazon EFS
Ver respuesta y explicación

Respuesta: A. AWS Certificate Manager ayuda a gestionar certificados SSL/TLS.

10. ¿Qué servicio se asocia a claves de cifrado administradas por AWS o por el cliente?
  1. AWS KMS
  2. Amazon Route 53
  3. AWS Shield
  4. AWS Migration Hub
Ver respuesta y explicación

Respuesta: A. KMS permite crear y gestionar claves criptográficas.

11. ¿Cuál es la diferencia más correcta entre GuardDuty e Inspector?
  1. GuardDuty detecta amenazas; Inspector analiza vulnerabilidades.
  2. GuardDuty gestiona certificados; Inspector protege de DDoS.
  3. Son el mismo servicio con distinto nombre.
  4. Inspector centraliza facturas y GuardDuty migra bases de datos.
Ver respuesta y explicación

Respuesta: A. Esa diferencia es clave para CLF-C02.

12. ¿Cuál es la diferencia más correcta entre WAF y Shield?
  1. WAF filtra tráfico web; Shield protege frente a DDoS.
  2. WAF gestiona certificados; Shield almacena secretos.
  3. Shield clasifica datos sensibles; WAF migra servidores.
  4. No hay ninguna diferencia.
Ver respuesta y explicación

Respuesta: A. WAF se centra en reglas web HTTP/S y Shield en DDoS.

13. Una empresa quiere investigar la causa raíz y el contexto de un hallazgo de seguridad. ¿Qué servicio puede ayudar?
  1. Amazon Detective
  2. Amazon ECR
  3. AWS Cost Explorer
  4. AWS Snow Family
Ver respuesta y explicación

Respuesta: A. Detective ayuda a investigar hallazgos y analizar actividad relacionada.

14. Una empresa quiere una vista agregada de hallazgos de GuardDuty, Inspector y Macie. ¿Qué servicio debería mirar?
  1. AWS Security Hub
  2. AWS Pricing Calculator
  3. Amazon Route 53
  4. AWS Direct Connect
Ver respuesta y explicación

Respuesta: A. Security Hub centraliza hallazgos de seguridad y ayuda a priorizarlos.

Resumen final

Los servicios de seguridad de AWS se entienden mejor cuando los relacionas con problemas concretos. AWS WAF protege aplicaciones web frente a patrones maliciosos. AWS Shield protege frente a DDoS. Firewall Manager centraliza políticas en varias cuentas. GuardDuty detecta amenazas. Inspector analiza vulnerabilidades. Macie descubre datos sensibles. Security Hub centraliza hallazgos. Detective ayuda a investigar. Secrets Manager guarda y rota secretos. Certificate Manager gestiona certificados. KMS gestiona claves de cifrado.

Para aprobar CLF-C02, quédate con las pistas del escenario. Si ves SQL injection o XSS, piensa en WAF. Si ves DDoS, Shield. Si ves actividad sospechosa, GuardDuty. Si ves vulnerabilidades, Inspector. Si ves datos sensibles en S3, Macie. Si ves hallazgos centralizados, Security Hub. Si ves contraseñas o tokens, Secrets Manager. Si ves certificados HTTPS, Certificate Manager.

← Cifrado y protección de datos en AWS Monitorización, auditoría y gobierno: CloudWatch, CloudTrail y AWS Config →