"Defensa en profundidad - AWS proporciona capas de controles de seguridad para proteger tu infraestructura"
Tiempo de Estudio: ~6 horas
Dificultad: Intermedio a Avanzado
Importancia: ⭐⭐⭐⭐ (¡Muchas preguntas del examen!)
AWS ofrece un conjunto integral de servicios de seguridad que trabajan juntos para proporcionar defensa en profundidad. Este capítulo cubre los servicios de seguridad principales que necesitas conocer para el examen Cloud Practitioner y la implementación del mundo real.
- 🏰 Estrategia de Defensa en Profundidad
- 🔐 Servicios de Protección de Datos
- 🌐 Servicios de Seguridad de Red
- 🔍 Servicios de Monitoreo y Registro
- 🛡️ Servicios de Detección de Amenazas
- 📋 Servicios de Cumplimiento y Gobernanza
- 🎯 Guía de Selección de Servicios
La defensa en profundidad es una estrategia de seguridad que utiliza múltiples capas de controles de seguridad para proteger información y sistemas. Si una capa falla, otras capas continúan proporcionando protección.
Piensa en la seguridad de AWS como un sistema de defensa de castillo medieval:
🏰 Capas de Defensa del Castillo:
1. 🌊 Foso (Perímetro de red)
2. 🏛️ Muros exteriores (VPC, Security Groups)
3. 🚪 Puertas (IAM, Controles de Acceso)
4. 👥 Guardias (Monitoreo, Detección)
5. 🗝️ Bóveda (Cifrado, Protección de Datos)
6. 📜 Registros (Logging, Auditoría)
| Categoría | Propósito | Servicios Clave |
|---|---|---|
| 🔐 Protección de Datos | Cifrar y proteger datos | KMS, CloudHSM, Certificate Manager |
| 🌐 Seguridad de Red | Controlar acceso de red | Security Groups, WAF, Shield |
| 🔍 Detección y Monitoreo | Encontrar y rastrear problemas | CloudTrail, Config, GuardDuty |
| 🛡️ Respuesta a Amenazas | Responder a amenazas | Inspector, Macie, Security Hub |
| 📋 Cumplimiento | Cumplir regulaciones | Artifact, Control Tower, Organizations |
AWS KMS es un servicio de cifrado administrado que facilita crear, controlar y usar claves de cifrado para proteger tus datos.
KMS es como un sistema de cajas de seguridad de un banco:
- 🏦 Banco (AWS) proporciona la infraestructura de bóveda segura
- 🗝️ Tus llaves controlan el acceso a tu caja específica
- 🔒 Control dual - Necesitas tu llave + seguridad del banco
- 📋 Rastro de auditoría - El banco rastrea cada acceso
- 🔄 Rotación de llaves - El banco puede ayudarte a cambiar cerraduras
Llaves Administradas por el Cliente:
- 👤 Tú controlas el ciclo de vida de la llave
- 🔄 Tú administras las políticas de rotación
- 📊 Tú estableces políticas de uso
- 💰 Costo: $1/mes por llave + uso
Llaves Administradas por AWS:
- 🤖 AWS administra la llave automáticamente
- 🔄 Rotación automática cada año
- 🔒 Específica del servicio - Una por servicio por región
- 💰 Costo: Gratis (se aplican cargos de uso)
Llaves Propiedad de AWS:
- 🏢 AWS posee y administra completamente
- 🔒 Compartida entre clientes (pero aislada)
- 🚫 Sin acceso directo o control
- 💰 Costo: Gratis
- 📁 Cifrado de bucket S3 - Proteger archivos en reposo
- 💾 Cifrado de volumen EBS - Proteger datos de disco
- 🗄️ Cifrado de base de datos RDS - Proteger contenido de base de datos
- 📱 Secretos de aplicación - Cifrar llaves API, contraseñas
- 📊 Variables de entorno Lambda - Proteger secretos de función
Cuando subes un archivo a S3 con cifrado KMS:
1. 📁 Subes archivo a S3
2. 🔑 S3 solicita llave de cifrado de KMS
3. 🔐 KMS genera llave de datos usando tu llave maestra
4. 🔒 S3 cifra archivo con llave de datos
5. 🗑️ S3 descarta llave de datos en texto plano
6. 💾 S3 almacena archivo cifrado + llave de datos cifrada
Cuando descargas:
1. 📥 S3 recupera archivo cifrado + llave de datos cifrada
2. 🔑 S3 pide a KMS descifrar llave de datos
3. 🔓 KMS descifra llave de datos (si tienes permiso)
4. 🔐 S3 descifra archivo con llave de datos
5. 📱 Recibes archivo descifrado
AWS CloudHSM proporciona módulos de seguridad de hardware (HSMs) en la nube de AWS para generar y usar tus propias claves de cifrado.
CloudHSM es como tener tu propia bóveda privada:
- 🏠 Tu propia bóveda (hardware dedicado)
- 🗝️ Solo tú tienes las llaves (inquilino único)
- 🔒 Seguridad de grado bancario (FIPS 140-2 Nivel 3)
- 👤 Tú controlas todo (control administrativo completo)
| Aspecto | KMS | CloudHSM |
|---|---|---|
| Tenencia | Multi-inquilino | Inquilino único |
| Administración | Administrado por AWS | Administrado por cliente |
| Costo | Menor | Mayor |
| Rendimiento | Estándar | Alto rendimiento |
| Cumplimiento | FIPS 140-2 Nivel 2 | FIPS 140-2 Nivel 3 |
| Caso de Uso | Cifrado general | Cumplimiento especializado |
AWS Certificate Manager aprovisiona, administra y despliega certificados SSL/TLS para uso con servicios de AWS.
- 🔐 Cifrar datos en tránsito - Proteger datos moviéndose entre cliente y servidor
- ✅ Autenticación - Probar que eres quien dices ser
- 🔒 Integridad de datos - Asegurar que los datos no se modifiquen en tránsito
- 🌐 Confianza del navegador - Evitar advertencias de seguridad
- 🆓 Certificados SSL gratuitos para servicios de AWS
- 🔄 Renovación automática - No más certificados expirados
- 🚀 Despliegue fácil - Integración automática con CloudFront, ALB, API Gateway
- 🔒 Soporte de comodín - Certificado único para múltiples subdominios
Seguridad de Sitio Web de E-commerce:
1. 🛒 Solicitar certificado para shop.company.com
2. ✅ ACM valida propiedad del dominio
3. 📜 ACM emite certificado SSL gratuito
4. 🔗 Adjuntar certificado al Application Load Balancer
5. 🔐 Tráfico de cliente cifrado automáticamente
6. 🔄 ACM renueva certificado antes de expiración
Los Security Groups actúan como firewalls virtuales que controlan el tráfico entrante y saliente hacia recursos de AWS.
Los Security Groups son como portero de discoteca:
- 👥 Revisar la lista - Solo permitir tráfico que coincida con reglas
- 🚪 Guardar la entrada - Controlar quién entra
- 📋 Reglas diferentes - Lista VIP, admisión general, personal
- 🔄 Con estado - Si alguien entra, puede salir
- 🔒 Denegar por defecto - Todo tráfico bloqueado a menos que se permita explícitamente
- ✅ Solo reglas de permitir - No se pueden crear reglas de denegar
- 🔄 Con estado - Tráfico de retorno permitido automáticamente
- 🎯 Nivel de instancia - Aplicado a instancias específicas
- 🔗 Referencias de reglas - Puede referenciar otros security groups
Security Group del Servidor Web:
┌─────────────────────────────────────┐
│ Reglas de Entrada: │
│ ✅ HTTP (80) desde 0.0.0.0/0 │
│ ✅ HTTPS (443) desde 0.0.0.0/0 │
│ ✅ SSH (22) desde Admin-SG │
│ │
│ Reglas de Salida: │
│ ✅ Todo el tráfico (por defecto) │
└─────────────────────────────────────┘
Security Group de Administrador:
┌─────────────────────────────────────┐
│ Reglas de Entrada: │
│ ✅ SSH (22) desde Office-IP │
│ ✅ RDP (3389) desde Office-IP │
└─────────────────────────────────────┘
Las ACLs de Red proporcionan seguridad a nivel de subred que actúa como una capa adicional de protección de firewall.
- 🏢 NACLs = Seguridad de edificio - Controla quién entra al edificio (subred)
- 🚪 Security Groups = Seguridad de oficina - Controla quién entra a oficinas específicas (instancias)
| Aspecto | Security Groups | NACLs |
|---|---|---|
| Nivel | Instancia | Subred |
| Reglas | Solo permitir | Permitir y denegar |
| Estado | Con estado | Sin estado |
| Evaluación | Todas las reglas | Reglas en orden |
| Por defecto | Denegar todo entrante | Permitir todo tráfico |
AWS WAF es un firewall de aplicaciones web que protege aplicaciones web de exploits y ataques web comunes.
WAF es como escáner de seguridad de aeropuerto:
- 🔍 Inspeccionar todo - Examina todas las solicitudes web
- 🚫 Bloquear amenazas - Detiene elementos peligrosos (solicitudes maliciosas)
- 📋 Basado en reglas - Usa reglas de seguridad predefinidas y personalizadas
- 🚀 Procesamiento rápido - Impacto mínimo en tráfico legítimo
- 🚫 Inyección SQL - Previene ataques a bases de datos
- 🚫 Cross-Site Scripting (XSS) - Bloquea scripts maliciosos
- 🚫 Reputación de IP - Bloquea direcciones IP maliciosas conocidas
- 🚫 Bloqueo geográfico - Restringe acceso por país
- 🚫 Limitación de velocidad - Previene ataques DDoS
- 🚫 Restricciones de tamaño - Bloquea solicitudes de gran tamaño
Protección de Sitio Web E-commerce:
Solicitud Entrante: POST /login
├── Regla WAF 1: Verificar patrones de inyección SQL
├── Regla WAF 2: Validar tamaño de solicitud
├── Regla WAF 3: Verificar reputación de IP
├── Regla WAF 4: Limitación de velocidad (máx 10 solicitudes/minuto)
└── Decisión: Permitir/Bloquear solicitud
Si PERMITIDA: Solicitud va a la aplicación
Si BLOQUEADA: Retornar error 403 Prohibido
AWS Shield proporciona protección DDoS (Denegación de Servicio Distribuida) para aplicaciones ejecutándose en AWS.
Shield es como sistema de protección contra inundaciones:
- 🌊 DDoS = Inundación - Volumen abrumador de tráfico malicioso
- 🛡️ Shield = Diques - Absorbe y redirige tráfico de ataque
- 🏠 Tu app = Casa - Protegida detrás de las barreras contra inundaciones
- 📊 Monitoreo = Sistema meteorológico - Detecta ataques temprano
AWS Shield Standard:
- 🆓 Gratuito para todos los clientes
- 🛡️ Protección contra ataques comunes (Capa 3/4)
- 🚀 Protección automática - Siempre activa
- 📊 Diagnósticos básicos de ataques
AWS Shield Advanced:
- 💰 $3,000/mes por organización
- 🛡️ Protección mejorada (Capa 3/4/7)
- 👥 Soporte DRT 24/7 (Equipo de Respuesta DDoS)
- 💰 Protección de costos - Reembolso de cargos de escalamiento durante ataques
- 📊 Diagnósticos avanzados de ataques
AWS CloudTrail proporciona gobernanza, cumplimiento y auditoría para tu cuenta de AWS registrando todas las llamadas API.
CloudTrail es como sistema integral de cámaras de seguridad:
- 📹 Graba todo - Cada acción en tu cuenta de AWS
- ⏰ Marca tiempo de todo - Cuándo, dónde, quién, qué
- 💾 Almacena grabaciones - Mantiene registros para investigación
- 🔍 Buscable - Encuentra eventos específicos rápidamente
- 🚨 Alertas - Notifica cuando ocurre actividad sospechosa
- 👥 Actividad de usuario - Inicios de sesión en consola, llamadas API
- 🔧 Acciones administrativas - Crear/eliminar recursos
- 🔒 Eventos de seguridad - Cambios de permisos, inicios de sesión fallidos
- 💰 Eventos de facturación - Cambios de asignación de costos
- 🔄 Cambios de configuración - Modificaciones de recursos
{
"eventTime": "2024-06-17T10:30:45Z",
"eventName": "CreateBucket",
"eventSource": "s3.amazonaws.com",
"userIdentity": {
"type": "IAMUser",
"userName": "john.developer"
},
"sourceIPAddress": "203.0.113.12",
"requestParameters": {
"bucketName": "my-company-data-bucket"
},
"responseElements": {
"location": "https://my-company-data-bucket.s3.amazonaws.com/"
}
}- ✅ Habilitar en todas las regiones - No perderse ninguna actividad
- 🔐 Cifrar archivos de registro - Proteger datos sensibles de auditoría
- 🔒 Restringir acceso - Solo el equipo de seguridad debe acceder a registros
- 📊 Configurar alertas - Monitorear eventos críticos
- 💾 Almacenamiento a largo plazo - Mantener registros para requisitos de cumplimiento
AWS Config continuamente monitorea y registra configuraciones de recursos de AWS y te permite automatizar la evaluación de configuraciones registradas.
Config es como sistema de monitoreo de seguridad del hogar:
- 📹 Monitoreo continuo - Siempre vigilando tu casa
- 📋 Inventario de configuración - Conoce cada puerta, ventana, alarma
- 🚨 Alertas de cumplimiento - Alerta cuando algo no está bien
- 📈 Seguimiento de cambios - Registra cuando algo cambia
- 🔄 Auto-remediación - Puede arreglar algunos problemas automáticamente
- 📊 Instantáneas de configuración - Configuraciones de recursos en un momento específico
- 🔄 Seguimiento de cambios - Historial de cambios de configuración
- 📋 Monitoreo de cumplimiento - Verificar contra reglas y estándares
- 🔧 Auto-remediación - Arreglar automáticamente recursos no conformes
- 📈 Detección de deriva - Identificar deriva de configuración
Reglas de Cumplimiento:
├── S3-bucket-public-access-prohibited
├── EC2-security-group-attached-to-eni
├── RDS-storage-encrypted
├── IAM-password-policy
└── EIP-attached (IPs Elásticas deben estar adjuntas)
Acciones de Remediación:
├── Remover acceso público de buckets S3
├── Detener instancias EC2 no cifradas
├── Eliminar IPs Elásticas no utilizadas
└── Enviar notificaciones al equipo de seguridad
Amazon GuardDuty es un servicio de detección de amenazas que usa aprendizaje automático para identificar actividad maliciosa y comportamiento no autorizado.
GuardDuty es como detective de seguridad con IA:
- 🤖 Impulsado por IA - Usa aprendizaje automático para detectar patrones
- 🔍 Siempre investigando - Analiza continuamente tu entorno
- 📊 Reconocimiento de patrones - Identifica comportamiento inusual
- 🚨 Levanta alertas - Te notifica de amenazas potenciales
- 📚 Aprende continuamente - Se vuelve más inteligente con el tiempo
- 📊 Registros de Flujo VPC - Análisis de tráfico de red
- 🌐 Registros DNS - Análisis de consultas DNS
- 📋 Registros CloudTrail - Análisis de llamadas API
- 🌍 Inteligencia de amenazas - IPs y dominios maliciosos conocidos
- 🏴☠️ Malware - Instancias EC2 comunicándose con C&C de malware
- 🕳️ Puertas traseras - Patrones inusuales de comunicación de red
- 💣 Minería de criptomonedas - Actividad de minería no autorizada
- 🎣 Reconocimiento - Actividades de escaneo y sondeo
- 🔓 Instancias comprometidas - Instancias exhibiendo comportamiento malicioso
Hallazgo: UnauthorizedAPICall
┌─────────────────────────────────────────┐
│ Severidad: ALTA │
│ Cuenta: 123456789012 │
│ Región: us-east-1 │
│ Recurso: Usuario IAM (suspicious.user) │
│ Descripción: Patrón inusual de │
│ llamadas API detectado desde nueva │
│ geolocalización │
│ │
│ Evidencia: │
│ - 50+ llamadas API en 5 minutos │
│ - Nunca visto esta IP antes │
│ - Geolocalización: País desconocido │
│ - Tiempo: Fuera de horas normales │
└─────────────────────────────────────────┘
Amazon Inspector es un servicio de evaluación de vulnerabilidades que automáticamente evalúa aplicaciones por exposición, vulnerabilidades y desviaciones de mejores prácticas.
Inspector es como inspector de salud para tus aplicaciones:
- 🔍 Inspecciones programadas - Escaneos regulares de vulnerabilidades
- 📋 Basado en lista de verificación - Sigue mejores prácticas de seguridad
- 📊 Reportes detallados - Hallazgos con niveles de severidad
- 🎯 Recomendaciones específicas - Cómo arreglar cada problema
- 📈 Seguimiento de tendencias - Postura de seguridad a lo largo del tiempo
- 🔒 Alcanzabilidad de red - Identifica rutas de red a instancias EC2
- 🛡️ Mejores prácticas de seguridad - Verifica vulnerabilidades comunes
- 🔧 Comportamiento en tiempo de ejecución - Analiza comportamiento de aplicación
- 📦 Vulnerabilidades de software - CVEs conocidos en paquetes instalados
Amazon Macie es un servicio de seguridad de datos que usa aprendizaje automático para automáticamente descubrir, clasificar y proteger datos sensibles.
Macie es como detective de privacidad para tus datos:
- 🔍 Escanea todos los documentos - Examina tus buckets S3
- 📋 Identifica datos sensibles - Encuentra PII, datos financieros, etc.
- 🚨 Levanta alertas - Notifica sobre riesgos de exposición de datos
- 📊 Reportes de clasificación - Inventario detallado de datos
- 🔒 Sugiere protección - Recomienda medidas de seguridad
- 👤 Información de Identificación Personal (PII) - Nombres, SSNs, emails
- 💳 Datos financieros - Números de tarjetas de crédito, cuentas bancarias
- 🏥 Información de salud - Registros médicos, datos de pacientes
- 📋 Credenciales - Llaves API, contraseñas, certificados
- 📊 Clasificaciones personalizadas - Tipos de datos sensibles de tu organización
AWS Artifact proporciona acceso bajo demanda a reportes de seguridad y cumplimiento de AWS y acuerdos en línea seleccionados.
Artifact es como biblioteca digital de cumplimiento:
- 📚 Documentos de referencia - Todos los reportes de cumplimiento en un lugar
- 🔍 Capacidad de búsqueda - Encontrar certificaciones específicas rápidamente
- 📥 Centro de descarga - Obtener reportes para auditores
- 🔄 Siempre actualizado - Estado de cumplimiento más reciente
- 🔒 Acceso seguro - Distribución controlada de documentos
- 🏆 Reportes SOC - SOC 1, SOC 2, SOC 3
- 🌍 Certificaciones ISO - ISO 27001, ISO 27017, ISO 27018
- 🏛️ Gubernamental - FedRAMP, FISMA, FIPS 140-2
- 💳 Pagos - Certificación PCI DSS
- 🏥 Salud - Elegibilidad HIPAA
- 🌍 Internacional - C5, K-ISMS, MTCS
AWS Control Tower proporciona la forma más fácil de configurar y gobernar un entorno AWS seguro y multi-cuenta basado en mejores prácticas.
Control Tower es como arquitecto maestro para tu entorno AWS:
- 📏 Diseño de planos - Arquitectura de seguridad prediseñada
- 🏗️ Construcción automatizada - Configura cuentas automáticamente
- 📋 Códigos de construcción - Hace cumplir estándares de seguridad y cumplimiento
- 🔍 Inspección continua - Monitorea deriva de cumplimiento
- 🎯 Mejores prácticas - Basado en AWS Well-Architected Framework
- 🏢 Zona de Aterrizaje - Configuración multi-cuenta preconfigurada
- 📋 Barandillas - Controles preventivos y detectivos
- 🖥️ Fábrica de Cuentas - Aprovisionamiento estandarizado de cuentas
- 📊 Panel de Control - Vista centralizada de gobernanza
- 🔄 Detección de deriva - Identifica cambios de configuración
| Escenario | Usar Este Servicio | Por Qué |
|---|---|---|
| Cifrar buckets S3 | KMS | Cifrado administrado, integración fácil |
| Cifrado de alto rendimiento | CloudHSM | Hardware dedicado, FIPS 140-2 Nivel 3 |
| Certificados SSL para sitio web | ACM | Certificados gratuitos, renovación automática |
| Cifrar contraseñas de base de datos | KMS | Gestión segura de claves |
| Escenario | Usar Este Servicio | Por Qué |
|---|---|---|
| Controlar acceso de instancia EC2 | Security Groups | Firewall a nivel de instancia |
| Restricciones a nivel de subred | NACLs | Capa adicional de protección |
| Proteger aplicación web | WAF | Filtrado a nivel de aplicación |
| Protección DDoS | Shield | Absorbe tráfico de ataque |
| Escenario | Usar Este Servicio | Por Qué |
|---|---|---|
| Rastrear quién hizo qué | CloudTrail | Rastro de auditoría completo |
| Monitorear configuraciones de recursos | Config | Cumplimiento de configuración |
| Detectar amenazas automáticamente | GuardDuty | Detección de amenazas con ML |
| Encontrar software vulnerable | Inspector | Evaluación de vulnerabilidades |
| Descubrir datos sensibles | Macie | Clasificación y protección de datos |
Pila de Seguridad Esencial:
├── IAM (usuarios, grupos, MFA)
├── Security Groups (controles de red)
├── CloudTrail (registro de auditoría)
├── Config (monitoreo de cumplimiento)
└── GuardDuty (detección de amenazas)
Costo: ~$50-200/mes
Complejidad: Baja
Cobertura: Base básica pero sólida
Pila de Seguridad Integral:
├── IAM + Federación de Identidad
├── Security Groups + NACLs + WAF
├── CloudTrail + Config + GuardDuty
├── Inspector + Macie + Security Hub
├── KMS + CloudHSM (si es necesario)
├── Shield Advanced (si es necesario)
└── Control Tower (multi-cuenta)
Costo: $1,000-10,000+/mes
Complejidad: Alta
Cobertura: Protección de grado empresarial
Pila Enfocada en Cumplimiento:
├── Todos los servicios empresariales
├── CloudHSM dedicado
├── Registro y monitoreo mejorado
├── Verificación de cumplimiento automatizada
├── Reportes de cumplimiento regulares
└── Operaciones de seguridad 24/7
Costo: $10,000+/mes
Complejidad: Muy Alta
Cobertura: Cumple regulaciones estrictas
- KMS = Key Management Service (Claves para cifrado)
- ACM = Automated Certificate Management (Certificados SSL)
- CloudHSM = Hardware Security Module (Hardware dedicado)
- WAF = Web Application Firewall (Protege aplicaciones web)
- Shield = Protección de DDoS (como un escudo)
- Security Groups = Firewalls de instancia (protegen cada instancia)
- CloudTrail = Rastro de migas de pan (registros de auditoría)
- Config = Monitoreo de configuración
- GuardDuty = Guardia de servicio (detección de amenazas)
- Inspector = Inspecciona vulnerabilidades
- Macie = Machine learning para clasificación de datos (cifrado)
Antes de continuar, asegúrate de poder:
- Explicar la estrategia de defensa en profundidad
- Elegir servicios de cifrado apropiados (KMS vs CloudHSM)
- Entender capas de seguridad de red (Security Groups, NACLs, WAF)
- Identificar requisitos de monitoreo y registro
- Seleccionar servicios de detección de amenazas para diferentes escenarios
- Entender herramientas de cumplimiento y gobernanza
- Diseñar arquitectura de seguridad básica para diferentes tamaños de negocio
Una empresa quiere cifrar datos almacenados en buckets S3 usando sus propias claves de cifrado que controlan completamente. ¿Qué servicio de AWS deberían usar?
A) AWS KMS con claves administradas por AWS B) AWS KMS con claves administradas por el cliente C) AWS CloudHSM D) AWS Certificate Manager
💡 Haz clic para la Respuesta
Respuesta: C) AWS CloudHSM
Explicación: CloudHSM proporciona hardware dedicado donde los clientes tienen control completo sobre sus claves de cifrado. Aunque las claves administradas por el cliente de KMS proporcionan control significativo, CloudHSM ofrece el nivel más alto de control del cliente sobre claves de cifrado con hardware dedicado de inquilino único.
¿Qué servicio de AWS monitorea automáticamente las cuentas de AWS por actividad maliciosa y comportamiento no autorizado usando aprendizaje automático?
A) AWS Config B) AWS CloudTrail C) Amazon GuardDuty D) Amazon Inspector
💡 Haz clic para la Respuesta
Respuesta: C) Amazon GuardDuty
Explicación: GuardDuty usa aprendizaje automático, detección de anomalías e inteligencia de amenazas integrada para identificar amenazas como IPs maliciosas, malware e instancias comprometidas. Monitorea continuamente registros de flujo VPC, registros DNS y eventos CloudTrail.
Una aplicación web necesita protección contra ataques de inyección SQL y cross-site scripting. ¿Qué servicio de AWS proporciona esta protección?
A) AWS Shield B) AWS WAF C) Security Groups D) Network ACLs
💡 Haz clic para la Respuesta
Respuesta: B) AWS WAF
Explicación: AWS WAF (Web Application Firewall) protege aplicaciones web de exploits web comunes como inyección SQL y cross-site scripting (XSS). Shield protege contra ataques DDoS, mientras que Security Groups y NACLs proporcionan protección a nivel de red.
Ahora que entiendes los servicios de seguridad integrales que AWS proporciona, exploremos cómo cumplir requisitos de cumplimiento e implementar marcos de gobernanza.
🎯 Próximo Capítulo: Cumplimiento y Gobernanza
¡Aprende cómo navegar el mundo complejo del cumplimiento regulatorio en la nube!
🎉 ¡Progreso fantástico! Ahora entiendes las poderosas herramientas de seguridad disponibles en AWS y cómo implementar estrategias de defensa en profundidad.