Clase 53 de 69 • Curso de AWS Certified Solutions Architect Associate
Contenido del curso
Certificación AWS Solutions Architect Associate: Fundamentos y Preparación
Preparación para certificación AWS Arquitecto de Soluciones
Configuración de presupuestos en AWS para controlar costos
AWS Well Architected Framework: Los 6 pilares para arquitectura sólida
quiz de Fundamentos de AWS
Servicios de cómputo AWS: EC2, procesadores Graviton y AMIs
Opciones de Compra en EC2
Lanzamiento de una instancia EC2 desde la consola de AWS
Caracteristicas adicionales de EC2
Consulta de metadatos de instancia con IMDS v2 en AWS
AWS Outpost para ejecutar servicios localmente con latencia baja
Despliegue de aplicaciones web con AWS Elastic Beanstalk
quiz de Servicios de Computo en AWS
Direccionamiento IP y bloques CIDR para redes AWS
Anatomia y funcionamiento de la VPC
Configuración de instancias públicas y privadas con NAT Gateway
Seguridad de VPC con NACL y grupos de seguridad en AWS
Configuración de grupos de seguridad para instancias públicas
Conectividad híbrida en AWS: VPC Peering, Transit Gateway y Endpoints
quiz de Redes en AWS
Introducción al modulo y niveles de almacenamiento
Diferencias entre Instance Store y EBS en AWS
EFS & FSx
Creación y configuración de volúmenes EBS en AWS
S3
Configuración de EFS para compartir almacenamiento entre instancias
Recuperación de objetos eliminados con versionamiento en AWS S3
quiz de Almacenamiento en AWS
Bases de datos relacionales vs no relacionales en AWS
DynamoDB
Creación y configuración de bases de datos Dynamo en AWS
Elasticache y DAX
Escalabilidad y alta disponibilidad con AWS RDS y Aurora
Configuración de Aurora en AWS RDS para alta disponibilidad
quiz de Bases de datos en AWS
Las estrategias de cifrado en entornos bancarios son fundamentales para garantizar la seguridad de datos sensibles y cumplir con las normativas regulatorias. AWS ofrece soluciones robustas para que instituciones financieras como Nexia Bank implementen mecanismos de protección avanzados que mantengan la integridad y confidencialidad de la información. Exploraremos las principales opciones que AWS proporciona para cifrado y cómo pueden implementarse eficazmente en el sector bancario.
Amazon Web Services propone dos servicios principales para el cifrado de datos en entornos financieros: KMS (Key Management Service) y Cloud HSM. Ambas soluciones están diseñadas para cumplir con diferentes niveles de exigencia regulatoria y casos de uso específicos.
El cifrado en el sector bancario no es simplemente una buena práctica, sino un requisito obligatorio debido a las estrictas regulaciones de la industria. Todos los datos de usuarios deben estar protegidos tanto en tránsito como en reposo, independientemente de su ubicación geográfica, para evitar accesos no autorizados.
Key Management Service (KMS) representa la solución de cifrado más implementada dentro del ecosistema AWS. Este servicio está completamente administrado por Amazon, lo que significa que ellos se encargan de todo el aspecto técnico relacionado con:
KMS opera de manera transparente para el usuario final. Cuando accedemos a algún servicio que utiliza KMS, el proceso de encriptación y desencriptación ocurre automáticamente sin intervención manual. Esta característica hace que su implementación sea sencilla y eficiente.
Una ventaja significativa es la integración nativa con la mayoría de servicios AWS, lo que facilita la implementación de capas de seguridad consistentes a través de toda la infraestructura. Además, KMS cumple con la normativa FIF 140-2 nivel 2, un estándar de seguridad ampliamente reconocido en el sector financiero.
Cloud HSM representa una alternativa especializada para escenarios donde se requiere un mayor control sobre la gestión de llaves criptográficas. En este modelo, AWS proporciona el hardware especializado (Hardware Security Module) mientras que la organización asume la responsabilidad de administrarlo.
Cuando implementamos Cloud HSM, somos responsables de:
Este servicio está diseñado específicamente para casos de uso donde, por requisitos regulatorios, sea necesario cumplir con el estándar PIB 140-2 nivel 3, que impone condiciones más estrictas que el nivel 2 soportado por KMS.
Un caso práctico de implementación de Cloud HSM en Nexia Bank podría estructurarse de la siguiente manera:
[Zona de Disponibilidad 1] [Zona de Disponibilidad 2]
+------------------------+ +------------------------+
| Instancias con bases | | Instancias con bases |
| de datos Oracle | | de datos Oracle |
+------------------------+ +------------------------+
| |
| |
v v
+------------------------+ +------------------------+
| Instancia Cloud HSM 1 |<---------->| Instancia Cloud HSM 2 |
+------------------------+ +------------------------+
\ /
\ /
\ /
\ /
+----------------------------+
| Clúster de Cloud HSM |
+----------------------------+
En este escenario, desplegamos un clúster de Cloud HSM que contiene instancias en múltiples zonas de disponibilidad. Cada zona aloja instancias con bases de datos Oracle que, por regulación, deben cifrar todos sus datos. El requerimiento específico es que la organización debe mantener control exclusivo sobre las llaves de cifrado.
Para lograr esto, se crea una instancia de Cloud HSM en cada zona de disponibilidad, conectadas entre sí formando un clúster. Esta arquitectura permite que las bases de datos accedan a los servicios de cifrado/descifrado de forma resiliente, cumpliendo con los requisitos regulatorios más exigentes.
El diseño multi-zona también proporciona alta disponibilidad, asegurando que el servicio de cifrado permanezca operativo incluso si una zona de disponibilidad experimenta problemas.
La seguridad en la nube para entidades financieras requiere soluciones robustas que se adapten a marcos regulatorios estrictos. AWS ofrece opciones flexibles que pueden ajustarse a diferentes necesidades de cumplimiento y control. ¿Has implementado alguna de estas soluciones en tu organización? Comparte tu experiencia en los comentarios.