Aprender seguridad en AWS puede ser abrumador. Entras a la consola y ves una lista interminable de nombres que parecen sacados de una película de ciencia ficción. Pero si los agrupamos por su **funcionalidad real**, todo empieza a tener sentido.
He diseñado este mapa mental dividido en 6 categorías críticas que cubren todo el espectro de protección en la nube.
1. IAM & Identidad: Quién entra y qué hace
La identidad es el nuevo perímetro. Aquí es donde decides quién puede tocar tus recursos.
- IAM (Identity and Access Management): La base de todo. Usuarios, grupos, roles y políticas (JSON) para dar permisos granulares.
- Cognito: El servicio para tus aplicaciones móviles y web. Maneja el login de tus usuarios finales (Facebook, Google, Apple o email propio).
- IAM Identity Center: (Antes AWS SSO). La forma moderna de gestionar el acceso centralizado a múltiples cuentas de AWS desde un solo lugar.
2. Detección y Respuesta: El equipo de vigilancia
Estos servicios te avisan cuando las cosas se ponen feas o te ayudan a investigar qué pasó.
- GuardDuty: Detección inteligente de amenazas basada en logs (DPI, DNS, CloudTrail). Es tu sistema de alarmas.
- Security Hub: El agregador central. Revisa si cumples mejores prácticas y centraliza las alertas de otros servicios.
- Detective: Te ayuda a hacer "forensics". Analiza la raíz de un incidente visualizando las conexiones y comportamientos previos de un atacante.
3. Protección de Red y Aplicaciones: Blindaje exterior
Protección contra ataques desde Internet.
- AWS Shield: Protección contra ataques DDoS (denegación de servicio). El nivel estándar es gratis y automático.
- WAF (Web Application Firewall): Filtra el tráfico HTTP/S. Bloquea inyecciones SQL, Cross-Site Scripting (XSS) y ataques de bots.
- Network Firewall: Un firewall de red tradicional (inspección de paquetes a nivel 3-7) para proteger toda tu VPC.
4. Cifrado y Datos: Protegiendo el tesoro
Si el atacante entra, que no pueda leer nada.
- KMS (Key Management System): Gestión de llaves para cifrar casi cualquier recurso (S3, EBS, RDS).
- CloudHSM: Hardware de seguridad dedicado para cuando necesitas control total sobre las llaves físicas (regulatorio).
- Secrets Manager: Centraliza tus contraseñas de BD y API Keys con rotación automática. No más "hardcode" en el código.
- Macie: Usa IA para encontrar datos sensibles (DPI, tarjetas de crédito, nombres) que hayas dejado olvidados en S3.
5. Auditoría y Cumplimiento: Manteniéndolo legal
Demuestra que estás haciendo lo que dices que haces.
- CloudTrail: El "CCTV" de AWS. Registra cada API call. Quién hizo qué, cuándo y desde dónde.
- AWS Config: Historial de cambios en tus recursos. Te permite volver atrás en el tiempo para ver cómo estaba configurado un recurso hace 3 meses.
- Audit Manager: Automatiza la recolección de evidencia para auditorías (ej: SOC2, PCI, HIPAA).
6. El futuro: Seguridad con IA
Las nuevas herramientas que están cambiando el juego.
- Security Agent: Evaluación automática de vulnerabilidades en tiempo de ejecución.
- GuardDuty XTD: Detección extendida que ahora analiza comportamientos más profundos en servicios de bases de datos y contenedores sin necesidad de agentes complejos.
Conclusión
No necesitas usar los 20+ servicios a la vez. Empieza por **IAM**, activa **CloudTrail**, protege tus datos con **KMS/Secrets Manager** y mantén la vista puesta en **GuardDuty/Security Hub**. La seguridad en la nube no es un destino, es un proceso continuo.