AWS · Software · ficha YoctoIT

Security

La seguridad hecha con los servicios del cloud: identidades granulares, threat detection gestionada y la postura en una sola puntuación.

FOCUS · IDENTIDAD & POSTURALeast privilege en serio y amenazas detectadas por el machine learning de AWS
Material YoctoIT para clientes y partners · AWS e i nomi dei servizi sono marchi di Amazon.com, Inc.
01 · Qué es

IAM, GuardDuty & Security Hub, en claro.

IAM gobierna quién puede hacer qué, hasta la API individual; Organizations y las SCP ponen los guardarraíles a nivel de grupo. GuardDuty analiza logs y tráfico con ML para descubrir amenazas; Security Hub agrega todo en una postura medible sobre los estándares (CIS, AWS Best Practices).

Least privilege
permisos al mínimo indispensable: IAM fine-grained + Access Analyzer
Basado en ML
GuardDuty: la threat detection sin sondas que instalar
1 puntuación
Security Hub: la postura del cloud, medida sobre los estándares
Icona ufficiale AWS — IAM, GuardDuty & Security Hub
ICONO OFICIAL AWS · Security
Console AWS
CONSOLA AWS REAL · SECURITY HUB DASHBOARD · FUENTE: AWS BLOG
02 · Cómo usarlo bien

Las cosas que marcan la diferencia.

La defensa por capas

Organizations & SCPlos guardarraíles del grupo
IAM & Identity Center
KMS · cifrado
WAF & Shield
identidad · claves · perímetro
GuardDuty · detecciónlas amenazas encontradas por el ML
Security Hubla postura agregada, con las prioridades
De la identidad a la respuesta

IAM Identity Center

El single sign-on sobre las cuentas AWS: las personas entran con la identidad corporativa, los permisos por rol.

KMS

Las claves de cifrado gestionadas y trazadas: el dato cifrado por defecto, en todas partes.

GuardDuty

Credenciales robadas, mining, exfiltraciones: los patrones maliciosos reconocidos en tus logs.

Automatización de la respuesta

Los findings que abren tickets y acciones: la remediación que arranca sola, con supervisión.

03 · En profundidad

Identidad, detección y postura

El perímetro es IAM: políticas least-privilege, roles en lugar de claves, Identity Center para el SSO federado y las permission boundaries para delegar con seguridad. La detección es GuardDuty (ML sobre CloudTrail, DNS y flujos), Security Hub agrega y prioriza (estándares CIS/FSBP), Inspector escanea EC2/ECR, Macie encuentra los datos sensibles en S3. Organizations y las SCP ponen los guardarraíles que ninguna cuenta puede saltarse.

  • SCP — las service control policies: el 'no se puede' que vale también para los admins
  • Identity Center — SSO federado con el IdP corporativo: fin de las claves longevas
  • GuardDuty — threat detection gestionada sobre logs y flujos: se enciende, trabaja
  • Security Hub — una puntuación y una cola única: los findings priorizados CIS/FSBP
  • Inspector — CVE sobre instancias y contenedores ECR en continuo
  • CloudTrail Lake — la auditoría consultable: quién hizo qué, en SQL
04 · Números y ciclo de vida

Los números que cuentan.

0
claves IAM longevas en nuestro estándar: solo roles y SSO
CIS
el estándar de postura medido por Security Hub
100%
de las cuentas bajo Organizations y SCP
24/7
los findings críticos en el flujo de nuestro NOC
La seguridad AWS es postura continua: landing zone con guardarraíles, detección encendida y findings en nuestra vigilancia 24/7.
05 · Casos de uso

Dónde rinde de verdad.

Hardening de la cuenta

Del root con MFA a las SCP: la línea base de seguridad que toda cuenta debería tener desde el día cero.

SOC sobre el cloud

GuardDuty y Security Hub dentro de nuestra vigilancia: las amenazas cloud vistas por quien responde 24/7.

Compliance demostrable

La postura CIS medida en el tiempo: la mejora documentada, no declarada.

La seguridad del cloud es un oficio de configuraciones: nosotros las configuramos bien y las vigilamos siempre — NIS2 e ISO incluidas.