AWS ofrece un conjunto de servicios diseñados para fortalecer la postura de seguridad de cualquier carga de trabajo, desde la detección de vulnerabilidades hasta el análisis forense y el cumplimiento normativo. Si manejas datos sensibles como los de Nexiobank, conocer cómo activar y combinar estas herramientas marca la diferencia entre reaccionar tarde o anticiparte a una brecha.

¿Cómo escanear vulnerabilidades con Amazon Inspector?

Amazon Inspector es el primer servicio que deberías activar cuando piensas en seguridad proactiva. Su trabajo es escanear de forma automática las vulnerabilidades en tus cargas de trabajo y entregarte recomendaciones accionables.

Inspector cubre cuatro frentes principales:

• Instancias EC2, mediante un agente SSM instalado en cada máquina.
• Imágenes de contenedores almacenadas en ECR.
• Funciones de Lambda desplegadas en tu cuenta.
• Repositorios de código Git alojados en AWS.

Cuando Inspector encuentra una vulnerabilidad, te muestra su criticidad y te sugiere cómo remediarla. Tú defines el nivel de riesgo aceptable según las políticas internas de tu empresa, y puedes cerrar findings que después de revisión resulten ser falsos positivos.

¿Qué es un Software Bill of Materials (SBOM)? Es un listado completo de todas las dependencias que corren en tu código. En Estados Unidos, varias industrias reguladas exigen generarlo de forma obligatoria, y Amazon Inspector te permite exportarlo directamente.

También puedes integrarlo en pipelines para escanear cada imagen que subas a ECR antes de pasar a producción.

¿Cómo hacer análisis forense con Amazon Detective?

Detective entra en escena cuando algo ya pasó. Es el servicio que te ayuda a recopilar, centralizar y correlacionar todos los rastros que dejan tus servicios para encontrar la causa raíz de un incidente de seguridad.

Detective consume datos de fuentes como:

• CloudTrail, para auditar llamadas a la API.
• VPC Flow Logs, para rastrear tráfico de red.
• CloudWatch, para métricas y logs operativos.

¿Cómo iniciar una investigación en Detective?

Puedes crear una investigación delimitada por fechas y por recursos específicos: instancias EC2, funciones Lambda o lo que tengas corriendo. Detective extrae todos los datos posibles para que reconstruyas el ataque sin saltar entre cinco consolas distintas.

Si tienes una organización configurada en AWS, puedes designar administradores delegados para investigar incidentes en múltiples cuentas, e integrarlo con Security Lake para centralizar aún más la telemetría.

¿Cómo detectar malas configuraciones con AWS Config?

No toda falla de seguridad es una vulnerabilidad de código. A veces el problema es algo tan simple como un bucket sin cifrado o un security group demasiado abierto. AWS Config se encarga justo de eso: detectar configuraciones incorrectas en tus recursos.

Config te permite elegir entre monitorear todos los recursos de tu cuenta o solo un subconjunto, y puede ejecutarse de forma continua o en intervalos programados. Los findings se almacenan en un bucket de S3 que tú defines.

Lo interesante es que AWS ya trae reglas predeterminadas basadas en buenas prácticas, y tú también puedes crear reglas propias. Cada recurso queda marcado como compliant o non compliant.

¿Para qué sirve Config en auditorías? Sirve para aplicar paquetes de reglas alineados con normas como ISO 27001 o SOC 2, y demostrar ante un auditor que tus configuraciones cumplen los controles exigidos.

Esto acelera muchísimo los procesos de certificación, porque el reporte ya está armado.

¿Cómo proteger datos personales con Amazon Macie?

Macie se enfoca en un problema crítico: saber dónde tienes datos sensibles. Analiza tu información en buckets de S3, volúmenes y bases de datos para identificar PII (Información de Identificación Personal).

Los datos PII están restringidos por regulación en la mayoría de países y deben estar correctamente tagueados y protegidos para que solo personas autorizadas accedan a ellos. Macie usa inteligencia artificial y modelos de machine learning propios para detectar estos datos y etiquetarlos automáticamente.

Esto te permite aplicar políticas de acceso más estrictas justo donde importa, sin tener que revisar manualmente terabytes de información.

¿Cómo descargar reportes de compliance con AWS Artifact?

AWS Artifact es la ventanilla única para acceder a los reportes de cumplimiento del propio AWS. Si un auditor te pide demostrar que tu proveedor cloud cumple con ISO 27001, entras a Artifact, buscas el reporte, lo descargas y lo entregas.

¿Qué reportes encuentras en AWS Artifact? Reportes de normas como ISO 27001, SOC 2 y otros marcos de compliance con los que AWS está certificado, además de reportes de terceros cuando aplican.

Esto te ahorra semanas de ida y vuelta con el equipo legal de Amazon y refuerza tu propia auditoría con evidencia oficial.

Cómo elegir el servicio correcto según el caso de uso

La diferencia entre estos cinco servicios es clave si vas a presentar el examen de certificación o si estás diseñando la estrategia de seguridad de tu empresa:

• Inspector: vulnerabilidades en EC2, ECR, Lambda y repositorios Git.
• Detective: análisis forense después de un incidente.
• Config: malas configuraciones y compliance continuo.
• Macie: detección de PII en datos almacenados.
• Artifact: descarga de reportes de compliance de AWS.

Cada uno cubre una capa distinta de la postura de seguridad, y combinarlos te da visibilidad completa sobre qué está mal, dónde está mal y cómo demostrarlo. ¿Qué caso de uso aplicarías tú con cada servicio? Déjamelo en los comentarios.