Modelo de responsabilidad compartida de AWS

Questions and Answers

¿Cuál de los siguientes NO es un servicio directamente asociado con el cifrado de datos en reposo utilizando AWS KMS?

• Amazon S3 (Simple Storage Service)
• Amazon EFS (Elastic File System)
• Amazon EBS (Elastic Block Store)
• Amazon EC2 (Elastic Compute Cloud) (correct)

En el contexto de AWS IAM, ¿cuál de las siguientes afirmaciones describe con mayor precisión la relación entre políticas y entidades (usuarios, grupos, roles)?

• Una entidad solo puede tener una política asociada, mientras que una política puede asociarse a múltiples entidades.
• Una política solo puede asociarse a una entidad, mientras que una entidad puede tener múltiples políticas asociadas.
• Tanto las entidades como las políticas solo pueden tener una única asociación entre sí.
• Una entidad puede tener múltiples políticas asociadas, y una política puede asociarse a múltiples entidades. (correct)

¿Cuál de las siguientes acciones NO se considera una práctica recomendada para mejorar la seguridad de una cuenta de AWS?

• Monitorear la actividad de la cuenta mediante AWS CloudTrail.
• Utilizar el usuario raíz de AWS para las tareas administrativas diarias. (correct)
• Activar la autenticación multifactor (MFA) para el usuario raíz y los usuarios críticos.
• Usar AWS Organizations para gestionar múltiples cuentas de AWS.

En Amazon VPC, si una subred tiene una tabla de enrutamiento asociada, ¿qué restricción se aplica a la modificación de esta tabla?

No se puede modificar la entrada de ruta local. (C)

¿Cuál es la función principal de TLS (Transport Layer Security) en el contexto de la protección de datos en tránsito en AWS?

Proteger la comunicación entre los clientes y los servidores. (C)

¿Cuál de las siguientes opciones describe con mayor precisión la diferencia fundamental entre los Security Groups y las ACLs de red en AWS?

Los Security Groups son stateful, recordando el tráfico permitido previamente, mientras que las ACLs de red son stateless, evaluando cada paquete individualmente. (B)

En el contexto de AWS, ¿cuál de las siguientes opciones representa la forma más eficiente de reducir la latencia para usuarios distribuidos geográficamente que acceden a contenido estático?

Implementar Amazon CloudFront, configurando ubicaciones de borde (Edge Locations) para almacenar en caché el contenido estático cerca de los usuarios. (D)

¿Cuál de los siguientes escenarios describe el caso de uso más apropiado para AWS Lambda en comparación con Amazon EC2?

Procesar grandes volúmenes de datos en tiempo real, donde la escalabilidad automática y la tolerancia a fallos son críticas. (B)

Una empresa necesita una solución de almacenamiento para instancias EC2 que ofrezca redundancia, escalabilidad y acceso concurrente desde múltiples instancias. ¿Cuál de los siguientes servicios de almacenamiento de AWS es el más adecuado?

Amazon EFS (Elastic File System) (D)

¿En qué se diferencia principalmente un Network Address Translation (NAT) Gateway de un Internet Gateway dentro de una Virtual Private Cloud (VPC) en AWS?

Un NAT Gateway permite que las instancias en subredes privadas inicien conexiones salientes a Internet sin ser directamente accesibles desde Internet, mientras que un Internet Gateway permite la comunicación bidireccional entre la VPC e Internet. (D)

Flashcards

¿Qué es AWS IAM?

Servicio gratuito para administrar accesos a los recursos de AWS (EC2, S3, etc.).

¿Políticas basadas en identidad?

Se asignan a usuarios, grupos o roles para definir sus permisos en AWS.

Gateway de Internet

Proporciona conectividad entre una VPC y la Internet pública.

¿Políticas basadas en recursos?

Son políticas que controlan el acceso a recursos específicos, como buckets de S3.

¿Seguridad de cuentas AWS?

Las medidas incluyen activar MFA, monitorear con CloudTrail y usar AWS Organizations.

Security Groups

Actúan como un firewall a nivel de instancia, controlando el tráfico de entrada y salida.

¿Qué es Amazon VPC?

Servicio que permite crear redes privadas aisladas dentro de AWS, con control sobre subredes y firewalls.

Amazon Route 53

Servicio de resolución de nombres DNS escalable y de alta disponibilidad utilizado en AWS.

CDN (Content Delivery Network)

Reduce la latencia almacenando copias de archivos en servidores distribuidos globalmente.

Amazon EC2

Servicio de computación elástica que permite crear y gestionar servidores virtuales en la nube.

Study Notes

Nube (UT 04, 05 Y 06)

Modelo de responsabilidad compartida de AWS

• AWS tiene una responsabilidad compartida para la seguridad en la nube.
• El cliente es responsable de la seguridad "dentro" de la nube, incluyendo la administración de la plataforma, aplicaciones, identidad, acceso, configuración del sistema operativo, red, firewall, cifrado de datos y la autenticación de integridad.
• AWS es responsable de la seguridad "de" la nube, incluyendo la computación, almacenamiento, bases de datos, redes, infraestructura global de hardware, regiones, zonas de disponibilidad y ubicaciones de borde.

AWS Identity and Access Management (IAM)

• IAM es un servicio gratuito para administrar accesos en AWS.
• IAM permite administrar el acceso a recursos.
• Un recurso es una entidad de AWS, por ejemplo, EC2 o bucket S3.
• Un usuario de IAM es una persona o aplicación que puede autenticarse con una cuenta de AWS.
• Un grupo de IAM es una colección de usuarios de IAM a los que se concede una autorización idéntica.
• Una política de IAM define a qué recursos se puede acceder y el nivel de acceso a cada recurso.
• Un rol de IAM es un mecanismo útil para conceder un conjunto de permisos a fin de realizar solicitudes de servicios de AWS.
• La autorización se concede mediante políticas.
• Todos los permisos están denegados de forma predeterminada.
• Una política puede asociarse a varias entidades y una entidad puede tener varias políticas asociadas.
• Las políticas se definen en formato JSON.

Tipos de políticas IAM:

• Basadas en identidad.
• Asignadas a usuarios, grupos o roles.
• Basadas en recursos.
• Controlan el acceso a recursos específicos como S3.

Seguridad de las cuentas

• El usuario raíz tiene privilegios totales, pero no se recomienda su uso diario.
• Se deben crear usuarios IAM con permisos específicos para diferentes tareas.

Medidas recomendadas para seguridad de las cuentas:

• Activar MFA en el usuario raíz y usuarios críticos.
• Monitorear actividades con AWS CloudTrail (rastreo de eventos).
• Usar AWS Organizations para gestionar múltiples cuentas de AWS.

Protección de datos en AWS

• El cifrado de datos en reposo se realiza mediante AWS KMS.
• Amazon S3 (Simple Storage Service) es un servicio de almacenamiento en la nube que permite guardar y recuperar datos de manera segura, escalable y altamente disponible.
• Amazon EBS (Elastic Block Store) es un servicio de almacenamiento en bloque de AWS diseñado para usarse con instancias EC2.
• Amazon EFS (Elastic File System) es un servicio de almacenamiento de archivos en la nube de AWS que proporciona acceso compartido.
• Bases de datos RDS (Relational Database Service) es un servicio administrado de bases de datos relacionales en la nube.
• El cifrado de datos en tránsito se realiza mediante TLS (Transport Layer Security), que protege la comunicación entre clientes y servidores en AWS.

Amazon VPC (Virtual Private Cloud)

• Amazon VPC es un servicio de aprovisionamiento de red.
• Permite crear subredes, firewalls (Security Groups) y listas de control de acceso (ACLs).
• Es exclusiva de una región, pero puede abarcar varias zonas de disponibilidad.

Enrutamiento VPC

• Direcciones reservadas en cada VPC (privadas, no asignables).
• Subredes configurables con tablas de enrutamiento.
• Se pueden añadir rutas, pero no modificar la entrada de ruta local.
• Una dirección IP pública se asocia automáticamente a cada instancia.
• Se pueden contratar direcciones IP elásticas (estáticas).

Gateways - Puertas de enlace

• Gateway de Internet: Proporciona conectividad entre la VPC e Internet.
• Gateway NAT (Network Address Translation): Permite la conexión de instancias de subredes privadas a Internet o a otros servicios.
• Interconexiones de VPC: Son conexiones de red entre diferentes VPCs.
• Conexiones Site-to-Site VPN: Para conectar con otras redes o centros de datos on premise.
• AWS Direct Connect (DX): Servicios más avanzados que se pueden contratar para reducir la latencia y mejorar el rendimiento de estas conexiones.

Seguridad en una VPC

• Los Security Groups se definen a nivel de instancia, funcionando como un firewall.
• Los grupos por defecto restringen todo el tráfico de entrada y permiten todo el tráfico se salida.
• Las ACLs tienen reglas similares que se aplican a nivel de red (VPC o subred).
• Las ACLs predeterminadas para una VPC permiten todo el tráfico de entrada y salida.

Resolución de nombres DNS

• El servicio de resolución de nombres DNS utilizado en AWS se llama Amazon Route 53.
• Es un servicio escalable y en alta disponibilidad.
• Dispone de un editor visual de flujos de tráfico y permite diferentes tipos de políticas de direccionamiento.
• Permite registrar nombres de dominio, realizando la configuración automática de DNS.

Content Delivery Network (CDN)

• Reduce la latencia del servicio debida a la distancia y saltos de red, lo que permite mejorar la calidad del servicio ofrecido a través de la nube.
• Consiste en un sistema de servidores distribuidos a nivel mundial con almacenamiento en caché, donde se guardan copias de archivos solicitados frecuentemente.
• La entrega de datos al cliente se realiza desde los servidores de borde ("Edge Locations") cercanos.

Servicios de computación

• Amazon Elastic Computing: Servicio IaaS flexible que utiliza AMIs (Imágenes de máquinas configuradas).
• Hay tipos de instancias de diferente capacidad y potencia.

Tipos de almacenamiento para los servidores:

• EBS: Almacenamiento duradero de bloques (disco).
• EC2 Instance Store: Almacenamiento efímero (se borra al parar la instancia).
• EFS: Almacenamiento en red (NFS).
• S3: Contenedores de información (buckets).
• AWS Lambda: Ejecución de código sin servidor, basado en funciones. Compatible con varios lenguajes, tolerante a fallos y de bajo coste.
• Amazon Elastic Container Service: Cómputo basado en contenedores, compatible con Docker, escalable y rápido.
• Amazon EC2 Auto Scaling: Monitorización de umbrales de nivel de servicio que desencadenan el lanzamiento o terminación de instancias.
• Amazon Elastic Kubernetes Service: Software para la coordinación de contenedores. Permite desplegar y administrar aplicaciones en contenedores, complementa a Docker, permitiendo gestionar contenedores en múltiples hosts.
• AWS Fargate: Control de contenedores.
• Amazon Elastic Container Registry (ECR): Almacenamiento y recuperación de imágenes de Docker.
• AWS Elastic Beanstalk: PaaS para implementación rápida de aplicaciones web; servicio administrado que permite utilizar código vinculado fácilmente con otros servicios.

Description

AWS tiene una responsabilidad compartida para la seguridad en la nube. El cliente es responsable de la seguridad dentro de la nube, incluyendo la administración de la plataforma y las aplicaciones. AWS se encarga de la seguridad de la nube, incluyendo la computación y el almacenamiento.