Definición
El AWS Security Reference Architecture (AWS SRA) es un conjunto de guías, mejores prácticas y arquitecturas de referencia diseñadas por AWS para ayudar a los clientes a implementar controles de seguridad robustos en la nube. Proporciona un marco escalable y modular que permite a las organizaciones:
Propósito:
- Proporcionar un marco estandarizado para implementar controles de seguridad en AWS.
- Integrar servicios nativos (IAM, GuardDuty, Security Hub) en una arquitectura unificada.
Alcance:
- Cubre desde gobernanza multicuenta hasta protección de workloads.
- Alineado con NIST CSF, CIS AWS Foundations Benchmark.
2. The Value of the AWS SRA
Beneficios clave:
| Área | Impacto |
|---|---|
| Gobernanza | Centralización de políticas con AWS Organizations (SCPs). |
| Automatización | Configuración como código (AWS CloudFormation, Terraform). |
| Cumplimiento | Mapeo automático a regulaciones (HIPAA, GDPR). |
Casos de uso:
- Empresas que migran cargas críticas a AWS.
- Equipos que necesitan auditorías continuas (AWS Config + Security Hub).
3. Security Foundations
Principios fundamentales:
- Mínimo privilegio:
- Ejemplo en IAM:jsonCopy{ «Version»: «2012-10-17», «Statement»: [{ «Effect»: «Allow», «Action»: «s3:GetObject», «Resource»: «arn:aws:s3:::bucket-datos/*» }] }
- Segmentación:
- Uso de VPCs, subnets privadas y NACLs.
- Cifrado:
- AWS KMS + encriptación en tránsito/reposo.
Diagrama clave:
mermaid
Copy
flowchart TD
A[Cuenta Management] -->|SCPs| B(OU Producción)
A -->|AWS SSO| C(OU Desarrollo)
B --> D[GuardDuty + Security Hub]
Próximos pasos propuestos:
- Profundizar en «Componentes básicos»:
- AWS Organizations (OUs, SCPs).
- Cuentas de seguridad dedicadas.
- Ejemplos de implementación:
- Cómo denegar regiones no permitidas vía SCP.