DEV Community

Cover image for Cómo aplicar un Well Architected Review para asegurar tu infraestructura. Cuarta parte
Diana Castro
Diana Castro

Posted on

Cómo aplicar un Well Architected Review para asegurar tu infraestructura. Cuarta parte

#aws #security

Servicios Críticos en la Estrategia de Seguridad

La proactividad es fundamental en el aseguramiento de cargas de trabajo. Un enfoque reactivo puede resultar extremadamente costoso para una organización, tanto en términos financieros como operativos y de imagen. Por esta razón, uno de los objetivos principales del Well-Architected Review es verificar que exista un monitoreo continuo y la implementación de medidas automatizadas de remediación.

Las buenas prácticas requieren activación de logs y monitoreo constante, pero la automatización de medidas preventivas y correctivas es fundamental. La experiencia tras múltiples revisiones ha revelado un patrón común: la mayoría de las organizaciones suelen tener implementada solo una fracción de los servicios de seguridad disponibles, mostrando resistencia a su activación debido a preocupaciones presupuestarias.

El argumento es contundente: el costo de un incidente de seguridad que comprometa datos, sistemas u operaciones supera significativamente la inversión en servicios preventivos.

Es importante destacar que AWS facilita la evaluación de estos servicios mediante períodos de prueba gratuitos de 30 días, permitiendo dimensionar adecuadamente su impacto presupuestario, el cual suele ser bastante razonable en relación con los beneficios obtenidos.

Detección y Monitoreo

Servicio Propósito Características Fallos Comunes
Security Hub Simplificación y centralización de la gestión de seguridad, consolidando hallazgos de múltiples fuentes en un único punto.
  • Compatible con múltiples cuentas y regiones.
  • Consolida alertas de servicios nativos (GuardDuty, Detective, Inspector, Macie) y herramientas de terceros.
  • Normaliza reportes de seguridad en un formato estándar.
  • Permite remediaciones automatizadas mediante EventBridge.
  • Generalmente no activo.
  • Algunas veces se omiten regiones y/o cuentas.
Amazon Detective Analiza, investiga y define la causa raíz de eventos de seguridad o actividades sospechosas.
  • Se alimenta de logs de servicios.
  • Utiliza ML, grafos y análisis estadístico.
  • Agiliza la investigación de actividades sospechosas.
  • Identifica patrones de issues de seguridad.
  • Ubica recursos afectados por hallazgos.
  • Frecuentemente no activado en las cargas de trabajo.
GuardDuty Detección de amenazas a nivel regional mediante monitoreo continuo.
  • Se nutre de CloudWatch, CloudTrail, DNS Logs, EKS Audit Logs, entre otros.
  • Usa ML avanzado y detección de anomalías para identificar patrones.
  • Los hallazgos pueden desencadenar remediaciones automáticas.
  • No siempre habilitado.
  • Malware Detection desactivado por defecto, lo que reduce su alcance.

Protección de la Infraestructura

Servicio Propósito Características Fallos Comunes
Amazon Inspector
  • Detección de vulnerabilidades de software.
  • Identificación de exposición no intencionada.
  • Compatible con EC2, Lambda, ECR.
  • Escaneo continuo de vulnerabilidades.
  • Contrasta factores de accesibilidad de red con CVEs.
  • Mantiene hallazgos hasta su remediación.
  • Baja tasa de activación en cargas de trabajo.
Systems Manager (SSM)
  • Visibilidad y control de infraestructura.
  • Automatización de tareas.
  • Gestión de parches y actualizaciones.
  • Acceso sin SSH.
  • Inventario de software en instancias administradas.
  • Almacenamiento centralizado de configuración.
  • Ejecución de acciones mediante documentos.
  • Subutilización del servicio.
  • Preferencia por SSH sobre SSM.
  • Documentos poco utilizados.
AWS Config
  • Monitoreo y registro de configuración de recursos.
  • Apoyo a auditorías y compliance.
  • Historial de configuraciones.
  • Registro de cambios.
  • Visualización de estados actuales e históricos.
  • Reglas de configuración personalizables.
  • Baja tasa de activación.
  • Subutilización de reglas de config.

Protección de Red y Aplicaciones

Servicio Propósito Características Fallos Comunes
AWS WAF
  • Firewall de aplicaciones web.
  • Prevención de ataques.
  • Protege Balanceadores de carga, API Gateway, Lambda y CloudFront.
  • Reglas predefinidas y personalizables.
  • Modo de conteo para aprendizaje.
  • Balanceadores e carga sin protección WAF.
AWS Shield
  • Protección contra DDoS.
  • Versiones Standard y Advanced.
  • Protección contra ataques comunes.
  • Advanced: protección adicional y soporte 24/7.
  • Falta de autorización al equipo AWS en versión Advanced.

Reflexiones Finales

A lo largo de esta serie de artículos sobre como aplicar un Well Architected Review, hemos recorrido los puntos de mejora más comunes. Hemos recorrido desde los fundamentos hasta los servicios más especializados que AWS pone a nuestra disposición.

La seguridad de nuestras cargas de trabajo es un tema de mejora continua, por naturaleza las cargas son dinámicas, por lo tanto, revisión constante es requerida, así como la automatización y evolución continua deben ser nuestro foco.

Como arquitectos y profesionales tenemos la responsabilidad de construir soluciones que no solo sean funcionales, sino también seguras y siempre será preferible incorporar las buenas prácticas desde la etapa de diseño.

Las buenas prácticas y la preparación adecuada no deben ser etiquetadas como gastos se trata de una inversión

Top comments (0)

Read next

dumboprogrammer profile image

Mseal in Linux: An un-hackable solution?

Tawhid -

recursivecodes profile image

Adding Real-Time Interactivity to Your Live Streams With AWS AppSync

Todd Sharp -

joaomarques profile image

Error when retrieving token from sso Token has expired and refresh failed

Joao Marques -

igventurelli profile image

Beware of Spring Boot Actuator Endpoint env: A Security Alert

Igor Venturelli -