Servicios de seguridad de AWS
Este módulo agrupa servicios que protegen, detectan, cifran y ayudan a responder. En el examen debes reconocer el caso de uso principal de cada uno.
Cómo estudiar servicios de seguridad
Trabaja esta página con un objetivo concreto: saber qué servicio detecta, protege, cifra o centraliza hallazgos. Primero entiende el concepto con tus palabras, después mira los servicios asociados y finalmente practica con un escenario. Evita estudiar como una lista; en CLF-C02 casi siempre te pedirán reconocer la intención de negocio o la responsabilidad correcta.
Conceptos que debes tener claros
KMS gestiona claves; CloudHSM ofrece HSM dedicado.
GuardDuty detecta amenazas; Inspector evalúa vulnerabilidades; Macie descubre datos sensibles.
WAF filtra tráfico web; Shield protege contra DDoS.
Security Hub agrega hallazgos y estado de seguridad.
Servicios y cuándo usarlos
| Servicio / concepto | Para qué sirve | Cómo reconocerlo en preguntas |
|---|---|---|
| AWS KMS | Claves gestionadas e integración con servicios | Cifrado de S3, EBS, RDS. |
| AWS WAF | Filtrado de peticiones HTTP/S | Bloquear SQL injection o IPs en web. |
| AWS Shield | Protección DDoS | Ataques de denegación de servicio. |
| Amazon GuardDuty | Detección inteligente de amenazas | Comportamientos sospechosos en cuentas y workloads. |
| Amazon Macie | Descubrimiento de datos sensibles en S3 | PII, datos personales, compliance. |
| AWS Secrets Manager | Almacenar y rotar secretos | Credenciales y API keys. |
Escenario explicado
Errores típicos que restan puntos
- Confundir WAF con Shield.
- Usar KMS para almacenar contraseñas en vez de Secrets Manager.
- Confundir GuardDuty con CloudTrail: CloudTrail registra; GuardDuty analiza amenazas.
Checklist de dominio
- Puedo explicar este tema en lenguaje sencillo.
- Reconozco el servicio adecuado para un caso de uso básico.
- Sé descartar al menos dos alternativas incorrectas.
- Entiendo si el servicio es gestionado, serverless, global, regional o zonal cuando aplica.
Servicios de seguridad clave
Esta ampliación está pensada para estudiar como lo haría un alumno antes del examen: entender primero el caso de uso, relacionarlo con el servicio correcto y practicar con ejemplos cortos. No hace falta aprender cada detalle técnico; para Cloud Practitioner necesitas reconocer conceptos, responsabilidades y decisiones básicas.
- GuardDuty detecta amenazas analizando eventos y comportamiento.
- Inspector evalúa vulnerabilidades en cargas compatibles.
- KMS gestiona claves de cifrado; Secrets Manager guarda secretos y credenciales.
Preguntas probables sobre servicios de seguridad
El enunciado suele darte una pista directa: saber qué servicio detecta, protege, cifra o centraliza hallazgos. Subraya esa parte antes de mirar las respuestas.
Una opción será técnicamente posible pero más compleja, menos gestionada o pensada para otro caso de uso.
Compara alcance, responsabilidad, coste operativo y nivel de gestión del servicio.
La mejor respuesta suele resolver el problema con el servicio más específico y sin añadir piezas innecesarias.
Repaso guiado para fijarlo
| Lo que debes saber explicar | Cómo decirlo en sencillo | Error típico |
|---|---|---|
| Concepto principal | Explica el servicio o idea en una frase, sin jerga y con un ejemplo práctico. | Aprender una definición de memoria sin saber aplicarla a un escenario. |
| Caso de uso | Relaciona el tema con una necesidad: guardar objetos, ejecutar código, proteger accesos, monitorizar, ahorrar costes o escalar. | Elegir un servicio parecido solo porque te suena más. |
| Responsabilidad | Separa qué gestiona AWS y qué debe configurar el cliente. | Creer que al ser cloud AWS se encarga de todo. |
| Palabras clave | Detecta términos como Multi-AZ, serverless, object storage, audit logs, budget alert, DNS, CDN, encryption o least privilege. | No leer el objetivo de la pregunta y contestar por intuición. |
Profundización práctica · Servicios de seguridad
Este bloque se ha revisado para que no sea una repetición del resto de la ruta. La clave aquí es saber qué servicio detecta, protege, cifra o centraliza hallazgos. Estúdialo buscando señales: qué necesidad plantea el escenario, qué servicio encaja y qué alternativa sería demasiado compleja o incorrecta.
Mapa mental de la lección
- detección de amenazas: relaciónalo con un caso real de empresa y con una palabra clave de examen.
- gestión de claves: relaciónalo con un caso real de empresa y con una palabra clave de examen.
- firewall: relaciónalo con un caso real de empresa y con una palabra clave de examen.
- protección DDoS: relaciónalo con un caso real de empresa y con una palabra clave de examen.
- secretos: relaciónalo con un caso real de empresa y con una palabra clave de examen.
Práctica aplicada
Agrupa servicios por función: cifrado, secretos, DDoS, firewall web, detección, evaluación de vulnerabilidades y datos sensibles.
Al terminar, intenta explicarlo en voz alta como si tuvieras que defender la respuesta delante de un compañero.
Errores a evitar
- confundir WAF con Security Groups
- usar KMS para guardar secretos
- pensar que GuardDuty bloquea tráfico
Lectura de escenarios
Busca verbos y restricciones: “reducir administración”, “auditar”, “bajo coste”, “sin servidores”, “alta disponibilidad”, “datos sensibles”, “acceso global” o “soporte crítico”. Esas pistas suelen llevarte al servicio correcto.
Servicios y conceptos que debes relacionar
Tabla de decisión rápida
| Situación | Respuesta que debes considerar | Por qué importa |
|---|---|---|
| KMS | Crear y administrar claves | Cifrado integrado con servicios |
| GuardDuty | Detectar amenazas | Hallazgos a partir de logs y señales |
| WAF | Filtrar peticiones web | Reglas HTTP/S delante de aplicaciones |
Ruta orientada a la guía oficial AWS Certified Cloud Practitioner CLF-C02. Los servicios y pesos pueden cambiar; antes del examen conviene contrastar con la guía oficial más reciente.