Modelo de Responsabilidad Compartida de AWS

Questions and Answers

En el contexto de AWS IAM, ¿cuál de las siguientes afirmaciones describe con mayor precisión la relación entre las políticas y las entidades (usuarios, grupos o roles)?

• Una política solo puede asociarse con una entidad, mientras que una entidad puede tener múltiples políticas asociadas.
• Una política puede asociarse a múltiples entidades, y una entidad puede tener múltiples políticas asociadas. (correct)
• Una política puede asociarse a múltiples entidades, y una entidad solo puede tener una política asociada.
• Una política solo puede asociarse con una entidad, y una entidad solo puede tener una política asociada.

¿Cuál es la implicación más significativa de la denegación predeterminada de todos los permisos en AWS IAM en relación con la seguridad y la administración de recursos?

• Simplifica la auditoría de seguridad, ya que no es necesario rastrear permisos implícitos o heredados.
• Reduce la necesidad de monitoreo continuo de actividades, ya que solo se deben supervisar los permisos explícitamente concedidos.
• Minimiza la superficie de ataque, ya que los usuarios y roles solo tienen acceso a los recursos que necesitan explícitamente, siguiendo el principio de mínimo privilegio. (correct)
• Acelera el proceso de concesión de permisos, ya que no es necesario revocar permisos innecesarios.

¿Cómo impacta el uso de AWS Organizations en la estrategia general de seguridad y gobernanza en un entorno de AWS compuesto por múltiples cuentas?

• Facilita la implementación de políticas centralizadas que se aplican consistentemente a todas las cuentas, garantizando el cumplimiento normativo y la seguridad. (correct)
• Optimiza los costos de AWS al consolidar la facturación y ofrecer descuentos por volumen.
• Automatiza la creación de copias de seguridad de datos en todas las cuentas, asegurando la resiliencia ante desastres.
• Centraliza la gestión de identidades, permitiendo el uso de un único directorio para autenticar usuarios en todas las cuentas.

¿Cuál es la diferencia fundamental entre el cifrado de datos en reposo mediante AWS KMS en Amazon S3 y Amazon EBS en términos de casos de uso y consideraciones de rendimiento?

Amazon S3 es más adecuado para almacenar objetos individuales y datos no estructurados, mientras que Amazon EBS está diseñado para volúmenes de almacenamiento en bloque utilizados con instancias EC2 y bases de datos. (B)

En el contexto de Amazon VPC, ¿cuál es la implicación de no poder modificar la entrada de ruta local en una tabla de enrutamiento para la conectividad dentro de la VPC?

Asegura que el tráfico destinado a la propia VPC siempre se enrute localmente, evitando posibles bucles de enrutamiento o intercepciones. (A)

Considerando las implicaciones de seguridad y rendimiento, ¿cuál es el enfoque más estratégico para combinar Security Groups y Network ACLs (NACLs) en una VPC para proteger aplicaciones web de misión crítica?

Usar Security Groups para controlar el tráfico a nivel de instancia y NACLs para controlar el tráfico a nivel de subred, implementando el principio de defensa en profundidad. (B)

¿Cuál es el impacto de habilitar el cifrado en tránsito utilizando TLS para las comunicaciones entre clientes y servidores en AWS, en el contexto de la soberanía y la residencia de los datos?

Protege los datos durante la transmisión, pero no aborda directamente los requisitos de soberanía o residencia de datos, que requieren medidas adicionales como el cifrado en reposo y la selección de regiones específicas. (C)

En un escenario donde una organización utiliza tanto Amazon S3 como Amazon EFS, ¿cómo se diferencia la estrategia de copia de seguridad y recuperación ante desastres para cada servicio, considerando sus respectivas arquitecturas y casos de uso?

Amazon S3 ofrece versionamiento y replicación entre regiones para la recuperación ante desastres, mientras que Amazon EFS se basa en copias de seguridad incrementales y snapshots. (A)

¿Cuál es la implicación de utilizar direcciones IP privadas reservadas en cada VPC en términos de direccionamiento IP global y conectividad a Internet?

Requiere el uso de NAT (Network Address Translation) o un gateway de Internet para permitir que las instancias EC2 en la VPC se comuniquen con recursos fuera de la VPC. (B)

En el contexto de un entorno de AWS multi-cuenta gestionado con AWS Organizations, ¿cómo se podría implementar una estrategia de monitoreo centralizado utilizando AWS CloudTrail para detectar y responder a incidentes de seguridad en tiempo real?

Centralizar los logs de AWS CloudTrail de todas las cuentas en una única cuenta de administración y utilizar herramientas de análisis de seguridad para detectar patrones y anomalías. (B)

En el contexto de AWS, ¿cuál es la implicación más crítica al optar por EC2 Instance Store en lugar de EBS para el almacenamiento de datos persistentes en una aplicación de misión crítica que se ejecuta en una instancia EC2?

Riesgo inherente de pérdida de datos en caso de detención, terminación o fallo de la instancia, exigiendo estrategias de replicación y respaldo robustas. (C)

¿Cómo impacta la elección de políticas de direccionamiento en Amazon Route 53 en la arquitectura de una aplicación global altamente disponible, específicamente en escenarios de fallos regionales y optimización de la experiencia del usuario?

Las políticas de direccionamiento permiten dirigir el tráfico a diferentes recursos basándose en proximidad geográfica, estado de salud y otros criterios, mejorando la resiliencia y el rendimiento. (D)

¿Cuál es la implicación más significativa de configurar Security Groups a nivel de instancia en una VPC de AWS en relación con el diseño de una estrategia de defensa en profundidad para una aplicación web multicapa?

Los Security Groups actúan como una capa de firewall virtual a nivel de instancia, permitiendo un control granular del tráfico y la segmentación de la red para aplicar el principio de mínimo privilegio. (B)

En un escenario donde se requiere la ejecución de código en respuesta a eventos en tiempo real con fluctuaciones impredecibles en la demanda, ¿cuál es la ventaja más significativa de AWS Lambda en comparación con el despliegue de instancias EC2 tradicionales?

AWS Lambda escala automáticamente los recursos necesarios para ejecutar el código en respuesta a la demanda, eliminando la necesidad de aprovisionamiento y gestión de servidores. (C)

¿Qué desafío fundamental aborda un Content Delivery Network (CDN) como Amazon CloudFront en el contexto de la distribución global de contenido multimedia, y cómo influye en la percepción de la calidad del servicio por parte del usuario final?

Los CDNs minimizan la latencia al almacenar en caché el contenido en servidores Edge cercanos a los usuarios, mejorando significativamente la velocidad de carga y la experiencia del usuario. (C)

En el contexto de la interconexión de redes en AWS, ¿cuál es la diferencia fundamental entre una conexión Site-to-Site VPN y AWS Direct Connect (DX) en términos de rendimiento, seguridad y complejidad de configuración para enlazar una VPC con un centro de datos on-premise?

AWS Direct Connect proporciona una conexión dedicada y privada con menor latencia y mayor ancho de banda que Site-to-Site VPN, pero implica una mayor inversión inicial y complejidad en la gestión de la infraestructura. (B)

¿Cómo afecta la elección entre una dirección IP pública automática y una dirección IP elástica (estática) en AWS al diseño de una arquitectura de alta disponibilidad para una aplicación crítica que se ejecuta en instancias EC2?

Las direcciones IP elásticas permiten mantener la misma dirección IP a lo largo del tiempo, facilitando la configuración de DNS y evitando interrupciones en el servicio en caso de reemplazo de la instancia. (C)

En el contexto de las VPCs de AWS, ¿cómo difiere fundamentalmente el comportamiento de los Security Groups y las ACLs de red en cuanto a la evaluación del tráfico de red y la aplicación de reglas de seguridad, y cómo impacta esta diferencia en la implementación de políticas de seguridad?

Los Security Groups son stateful y permiten el tráfico de retorno automáticamente, mientras que las ACLs de red son stateless y requieren reglas explícitas para el tráfico de entrada y salida. (A)

¿Cuál es la principal ventaja de utilizar Amazon EFS (Elastic File System) en lugar de EBS (Elastic Block Storage) para el almacenamiento de archivos compartidos entre múltiples instancias EC2, y cómo influye esta elección en la gestión del almacenamiento y la escalabilidad de la aplicación?

Amazon EFS proporciona un sistema de archivos NFS compartido que permite el acceso concurrente a los mismos archivos desde múltiples instancias, simplificando la gestión del almacenamiento y la escalabilidad. (B)

¿Cómo se compara la función y el propósito de un Internet Gateway con un Gateway NAT (Network Address Translation) en una Virtual Private Cloud (VPC) de AWS, y cómo influyen estas diferencias en la conectividad de las instancias EC2 con recursos externos?

El Internet Gateway permite la comunicación bidireccional entre las instancias EC2 y los recursos en Internet, mientras que el Gateway NAT solo permite que las instancias en subredes privadas inicien conexiones salientes a Internet. (C)

Flashcards

¿Qué hace un Internet Gateway?

Proporciona conectividad entre la VPC e Internet.

¿Qué es un Gateway NAT?

Permite la conexión de instancias de subred privadas a Internet.

¿Qué son las interconexiones VPC?

Conexiones de red entre diferentes VPCs.

¿Qué son las conexiones Site-to-Site VPN?

Conexiones para conectar con otras redes o centros de datos on-premise.

¿Qué son los Security Groups?

Se definen a nivel de instancia y funcionan como un firewall.

¿Qué son las ACLs (Listas de Control de Acceso)?

Se aplican a nivel de red (VPC o subred) y controlan el tráfico.

¿Qué es Amazon Route 53?

Servicio de resolución de nombres DNS utilizado en AWS.

¿Qué es un CDN (Content Delivery Network)?

Reduce la latencia entregando contenido desde servidores cercanos al usuario.

¿Qué es Amazon EC2?

Servicio IaaS flexible que utiliza AMIs (Imágenes de máquinas configuradas).

¿Qué es AWS Lambda?

Ejecución de código sin servidor, basado en funciones.

¿Qué es AWS IAM?

Servicio gratuito de AWS para gestionar permisos de acceso a los recursos en la nube.

¿Qué es un recurso en AWS?

Una entidad de AWS (EC2, S3 bucket, etc.) a la cual se puede controlar el acceso.

¿Qué es la autorización en AWS?

Proceso de conceder o denegar permisos a usuarios o servicios para acceder a recursos.

¿Qué son las políticas de IAM?

Documentos en formato JSON que definen los permisos de acceso a los recursos de AWS.

¿Qué son las políticas basadas en identidad?

Asociadas a usuarios, grupos o roles de IAM, definen los permisos de la identidad.

¿Qué son las políticas basadas en recursos?

Controlan el acceso a recursos específicos (como S3 buckets), no a usuarios directamente.

¿Qué es Amazon VPC?

Servicio para crear una red privada virtual y aislada dentro de la nube de AWS.

¿Qué son las subredes en VPC?

Segmentos de la VPC que aíslan recursos y permiten controlar el tráfico.

¿Cuáles son medidas de seguridad recomendadas en AWS?

Actuar sobre el usuario raíz, activar MFA, monitorear la actividad y usar AWS Organizations.

¿Cuáles son servicios de almacenamiento en AWS?

Amazon S3, Amazon EBS, Amazon EFS y bases de datos RDS.

Study Notes

Modelo de responsabilidad compartida de AWS

• Describe la división de responsabilidades de seguridad entre AWS y el cliente.
• El cliente es responsable de la seguridad "dentro" de la nube, incluyendo datos, aplicaciones, identidad y acceso.
• El cliente tambien es responsable de la configuración del sistema operativo, la red, el firewall, el cifrado de datos y la autenticación
• AWS es responsable de la seguridad "de" la nube, incluyendo la infraestructura global de hardware y software.
• AWS controla las regiones las zonas de disponibilidad y ubicaciones de borde.

AWS Identity and Access Management (IAM)

• IAM es un servicio gratuito para administrar el acceso a los recursos de AWS.
• Administra el acceso a los recursos.
• Un recurso es una entidad de AWS, como EC2 o un bucket S3.

Componentes de IAM

• Usuario de IAM: Una persona o aplicación que se autentica con una cuenta de AWS.
• Grupo de IAM: Colección de usuarios de IAM con autorizaciones idénticas.
• Política de IAM: Define a qué recursos se puede acceder y el nivel de acceso. Está en formato JSON.
• Rol de IAM: Concede permisos para realizar solicitudes de servicios de AWS.
• Los permisos se gestionan mediante políticas, y por defecto, todos los permisos están denegados.
• Una política puede estar asociada a varias entidades, y una entidad puede tener varias políticas.

Tipos de Políticas

• Basadas en identidad: Asignadas a usuarios, grupos o roles
• Basadas en recursos: Controlan el acceso a recursos específicos como S3.

Seguridad de las cuentas

• El usuario raíz tiene privilegios totales pero no se recomienda su uso diario.
• Se recomienda crear usuarios IAM con permisos específicos para cada tarea.
• Activar MFA en el usuario raíz y usuarios críticos.
• Monitorear actividades con AWS CloudTrail.
• Usar AWS Organizations para gestionar múltiples cuentas.

Protección de Datos en AWS

• El cifrado de datos en reposo se realiza mediante AWS KMS.
• Amazon S3 (Simple Storage Service): Almacenamiento en la nube para guardar y recuperar datos de forma segura.
• Amazon EBS (Elastic Block Store): Almacenamiento en bloque para instancias EC2.
• Amazon EFS (Elastic File System): Almacenamiento de archivos con acceso compartido.
• Bases de datos RDS (Relational Database Service): Servicio administrado de bases de datos relacionales.
• TLS (Transport Layer Security): protege la comunicación entre clientes y servidores.

Amazon VPC (Virtual Private Cloud)

• Es un servicio de aprovisionamiento de red.
• Permite crear subredes, firewalls (Security Groups) y listas de control de acceso (ACLs).
• Es exclusiva de una región, pero abarca varias zonas de disponibilidad.

Enrutamiento VPC

• Direcciones reservadas en cada VPC (privadas y no asignables).
• Subredes configurables con tablas de enrutamiento.
• Se pueden añadir rutas, pero no modificar la entrada de ruta local.
• Cada instancia tiene una dirección IP pública asociada automáticamente.
• Se pueden contratar direcciones IP elásticas (estáticas).

Gateways

• Gateway de Internet: Conectividad entre la VPC e Internet.
• Gateway NAT (Network Address Translation): Permite la conexión de subredes privadas a Internet u otros servicios.
• Interconexiones de VPC: Conexiones de red entre diferentes VPCs.
• Conexiones Site-to-Site VPN: Para conectar con otras redes o centros de datos on premise.
• AWS Direct Connect (DX): Reduce la latencia y mejora el rendimiento de las conexiones.

Seguridad en una VPC

• Los Security Groups se definen a nivel de instancia y funcionan como un firewall.
• Restringen todo el tráfico de entrada y permiten todo el tráfico de salida por defecto.
• Las ACLs se aplican a nivel de red (VPC o subred).
• Las ACLs predeterminadas para una VPC permiten todo el tráfico de entrada y salida.

Resolución de nombres DNS

• El servicio de resolución de nombres DNS en AWS se llama Amazon Route 53.
• Es un servicio escalable y en alta disponibilidad.
• Dispone de un editor visual de flujos de tráfico y permite diferentes tipos de políticas de direccionamiento.
• Permite registrar nombres de dominio, realizando la configuración automática de DNS.

Content Delivery Network (CDN)

• Reduce la latencia del servicio debido a la distancia y saltos de red.
• Consiste en un sistema de servidores distribuidos a nivel mundial con almacenamiento en caché.
• Copias de archivos solicitados frecuentemente se guardan en caché.
• La entrega de datos al cliente se realiza desde los servidores de borde ("Edge Locations") cercanos.

Servicios de computación

• Amazon Elastic Computing: Servicio IaaS flexible que utiliza AMIs (imágenes de máquinas configuradas).
• Ofrece tipos de instancias de diferente capacidad y potencia.

Tipos de almacenamiento para los servidores

• EBS: Almacenamiento duradero de bloques (disco).
• EC2 Instance Store: Almacenamiento efímero (se borra al parar la instancia).
• EFS: Almacenamiento en red (NFS).
• S3: Contenedores de información (buckets).

Otros servicios de computación

• AWS Lambda: Ejecución de código sin servidor, basado en funciones.
• AWS Lambda es compatible con varios lenguajes, tolerante a fallos y de bajo coste.
• Amazon Elastic Container Service: Cómputo basado en contenedores, compatible con Docker, escalable y rápido.
• Amazon EC2 Auto Scaling: Monitorización de umbrales de nivel de servicio que desencadenan el lanzamiento o terminación de instancias.
• Amazon Elastic Kubernetes Service: Software para la coordinación de contenedores, complementa a Docker, permitiendo gestionar contenedores en múltiples hosts.
• AWS Fargate: Control de contenedores.
• Amazon Elastic Container Registry (ECR): Almacenamiento y recuperación de imágenes de Docker.
• AWS Elastic Beanstalk: PaaS para implementación rápida de aplicaciones web.
• Permite utilizar código vinculado fácilmente con otros servicios.

Description

Este modelo describe cómo se divide la responsabilidad de la seguridad entre AWS y el cliente. El cliente es responsable de la seguridad dentro de la nube, incluyendo datos y acceso. AWS se encarga de la seguridad de la nube, como la infraestructura global.