Cuando pensamos en seguridad en AWS, el brainstorming siempre cae en el "típico combo": IAM, AWS WAF, KMS, quizá Security Hub. Sus íconos en color rojo ya los definen como servicios de seguridad per se.
Pero si llevas un tiempo como Cloud Security Engineer en AWS, sabes que la seguridad real involucra varios servicios aparte de los mencionados.
Aquí les dejo mi top 6 de servicios "no-seguridad" que considero importante conocer más para mejorar la postura de seguridad:
1️⃣ Amazon VPC: Donde Empieza el Juego de la Defensa
La seguridad empieza por casa, y en la nube, tu casa es la VPC. Si las redes no están bien diseñadas desde el inicio, puede ser un reto garantizar su seguridad. Dedica tiempo a entender cómo se estructuran las VPCs en cada cuenta. Servicios como Transit Gateway, túneles VPN y Security Groups forman parte de la base para una red segura y funcional.
2️⃣ AWS Config: El Detective de la Gobernanza
La gobernanza y el cumplimiento (compliance) son la forma de dormir tranquilo. Config avisa qué recursos están fuera de la línea y no cumplen con nuestras políticas establecidas (ej. ese bucket de S3 abierto al mundo). Lo bueno es integrarlo con otros servicios para no solo detectar, sino también automatizar acciones correctivas. ¡Menos trabajo manual!
3️⃣ AWS Systems Manager (SSM): El Navaja Suiza para el Ops Seguro
Tiene varias funcionalidades pero las que más me interesan a nivel des seguridad son:
SSM Documents: Usa las automatizaciones de SSM para implementar controles correctivos, normalmente sobre recursos en incumplimiento detectadas por las reglas de Config. ¿Detectaste algo mal? Un runbook de SSM se ejecuta y listo, recurso corregido.
Patch Manager: ¡Adiós a los dolores de cabeza con los parches! Te ayuda a gestionar las actualizaciones de forma eficiente y a escala.
4️⃣ AWS Organizations: Pon Orden en el Caos de Cuentas
Un entorno bien organizado es un entorno más seguro (y menos complejo). Una buena estructura de cuentas con Organizational Units (OUs) es la clave para la gobernanza centralizada.
Así puedes aplicar controles preventivos como: SCPs (Service Control Policies), Backup Policies, o las nuevas Resource Control Policies (RCPs) y declarative policies.
5️⃣ AWS Control Tower: El Acelerador de Seguridad Out-of-the-Box
Para los que montan entornos desde cero y no quieren reinventar la rueda de seguridad, Control Tower es el camino. Te monta una línea base de seguridad sólida, activa controles automáticos sobre las OUs y te da ese punto de cumplimiento inmediato. Te ahorras un montón de tiempo en validaciones manuales y tienes una gran cantidad de controles que son mantenidos por AWS directamente y solo tenemos que activarlos en las OUs de interés.
6️⃣ AWS CloudFormation: El Código que es Nuestro Control
La Infraestructura como Código (IaC) es ley. No solo te da consistencia en los despliegues, sino que es el punto clave para realizar validaciones a través de controles proactivos. Con los CloudFormation Hooks, podemos introducir validaciones específicas antes de que el recurso se cree. Es la forma controlada de gestionar excepciones y asegurar que solo se despliegue lo que es seguro por diseño.
🌟 Si alguien considera otro servicio que no es de seguridad y que les aporta mucho, me escriben en los comentarios porque tal vez me lo estoy perdiendo 😅
Top comments (0)