Conceptos Claves

Question 1

Modelo de responsabilidad compartida AWS

Answer 1

Modelo donde se comparte la responsabilidad de la seguridad en la nube entre el cliente y AWS

Question 2

¿Cuáles son los beneficios de la Cloud?

Answer 2

· Pagar solo cuando se consuman recursos
· Mayores economías de escala por un pago bajo por uso
· El tiempo para desplegar recursos es de minutos
· Acceso a mucha capacidad o menos con minutos de preaviso
· Despliegue en múltiples regiones, con baja latencia y mejor experiencia

Question 3

Triangulo de Seguridad

Answer 3

· Confidencialidad
· Integridad
· Disponibilidad

Question 4

7 principios de diseño del pilar de seguridad

Answer 4

· Aplicar el principio del mínimo privilegio
· Permitir la trazabilidad
· Asegurar todas las capas
· Automatizar la seguridad
· Proteger los datos en transito y reposo
· Prepararse para incidentes de seguridad
· Minimizar la superficie de ataque

Question 5

Autenticación multifactor (MFA)

Answer 5

Método de seguridad que proporciona dos o mas formas de verificación de un usuario.

Question 6

Políticas IAM

Answer 6

Son documentos que definen los permisos y accesos para los recursos en AWS.

Question 7

Categorías de Políticas IAM

Answer 7

Se dividen en dos categorías, administradas e inline. Las políticas administradas se dividen a su vez en políticas administradas por AWS y políticas administradas por el cliente.

Question 8

Política End-Point

Answer 8

Es una política independiente para controlar únicamente el acceso desde el punto final al servicio especificado. No influye el punto de enlace de región, sigue manteniendo los mismos permisos.

Question 9

Principio del menor privilegio

Answer 9

Entregar permisos mínimos y conceder permisos adicionales según sea necesario.

Question 10

Zona de disponibilidad

Answer 10

Es una ubicación física independiente y aislada en una región de AWS. Está diseñada para ser resistente a fallas y está conectada a través de una red de baja latencia y alta velocidad a otras zonas de disponibilidad en la misma región.

Question 11

Internet Gateway

Answer 11

Proporciona un destino en las tablas de rutas de la VPC para el tráfico enrutable por Internet y realiza la traducción de direcciones de red (NAT) para instancias a las que se han asignado direcciones IPv4 públicas.

Question 12

NAT Gateway

Answer 12

Permite a las instancias de una subred privada conectarse a Internet o a otros servicios de AWS. Además, impide que de Internet se inicie una conexión con esas instancias.

Question 13

Subnet

Answer 13

Rango de direcciones IP que divide una VPC. Pertenecen a una única zona de disponibilidad, pero puede crear subredes en diferentes zonas de disponibilidad.

Question 14

Private Subnet

Answer 14

Se utilizan a menudo para alojar instancias de bases de datos (DB) a las que no es necesario acceder a través de la Internet pública.
Mediante el uso de una puerta de enlace NAT administrada por AWS, se pueden realizar solicitudes salientes.

Question 15

Public Subnet

Answer 15

Consta de asignar una dirección IP pública a una instancia EC2 y La tabla de rutas de la subred debe incluir una entrada a la interfaz. AWS recomienda utilizar un balanceador de carga en la subred pública y hacer que el balanceador de carga retransmita el tráfico a los servidores web que están alojados en subredes privadas.

Question 16

Bloque CIDR

Answer 16

Es un rango de direcciones IP que se utiliza para identificar y asignar direcciones IP a redes y subredes.

Question 17

Elastic Network

Answer 17

Es una interfaz de red virtual que se puede conectar o desconectar de una instancia en una VPC. Cada instancia de su VPC tiene una interfaz de red predeterminada (la interfaz de red primaria). No puede separar una interfaz de red primaria de una instancia. Puede crear y adjuntar una interfaz de red adicional.

Question 18

Route Table

Answer 18

Es una tabla de búsqueda que realiza un seguimiento de las rutas, como un mapa, y las utiliza para determinar por dónde reenviar el tráfico.Contiene un conjunto de reglas (denominadas rutas) que dirigen el tráfico de red desde su subred.

Question 19

Security Group

Answer 19

Un grupo de seguridad actúa como un firewall virtual para una instancia EC2 y controla el tráfico entrante y saliente de la instancia. Los grupos de seguridad actúan a nivel de instancia, no a nivel de subred.

Question 20

ACL

Answer 20

Actúa como un cortafuegos para controlar el tráfico que entra y sale de una o varias subredes. Para añadir otra capa de seguridad a la VPC, puede configurar ACL de red con reglas similares a las de los grupos de seguridad.

Question 21

Funciones de seguridad VPC

Answer 21

Capas mas cercana a mas lejana para una instancia:
- Security Group
- ACL
-Subnet Routing

Question 22

Aplication Load Balancer

Answer 22

Solución de balanceo de carga altamente disponible y escalable que mejora el rendimiento y la disponibilidad de las aplicaciones al distribuir de manera eficiente el tráfico entre múltiples destinos en la nube de AWS.

Question 23

Network Load Balancer

Answer 23

Solución de balanceo de carga de alto rendimiento y baja latencia que distribuye el tráfico de red de manera eficiente entre múltiples destinos, lo que mejora la capacidad de respuesta y la disponibilidad de aplicaciones que requieren un rendimiento extremadamente rápido y una latencia mínima.

Question 24

AWS S3 Block Public Access

Answer 24

Esta función de AWS S3 proporciona que pueda limitar el acceso público a estos recursos .Esta función proporciona cuatro configuraciones:
-BlockPublicAcls: Impide cualquier operación nueva para hacer públicos los buckets u objetos a través de ACLs de buckets u objetos. Las políticas y ACL existentes para cubos y objetos no se modifican.
-IgnorePublicAcls: Ignora todas las ACL públicas de un cubo y de los objetos que contenga.
-BlockPublicPolicy: Rechazar llamadas a PUT una política de cubo si la política de cubo especificada permite el acceso público. (La activación de esta configuración no afecta a las políticas de bucket existentes.)
-RestrictPublicBuckets: Restringe el acceso a un bucket con una política pública únicamente a los servicios de AWS y a los usuarios autorizados dentro de la cuenta del propietario del bucket. Estas configuraciones son independientes y se pueden utilizar en cualquier combinación.

Question 25

AWS S3 Versioning

Answer 25

Con esta función, puede conservar, recuperar y restaurar todas las versiones de todos los objetos almacenados en sus buckets. Por defecto, el Versionado de S3 está deshabilitado en los buckets, y debe habilitarlo explícitamente.El Versionado puede ayudarle a recuperar objetos de un borrado o sobrescritura accidental.

Question 26

AWS S3 Object Lock

Answer 26

Con esta función puede almacenar objetos utilizando un modelo de escritura única, lectura múltiple (WORM). Esta función ofrece protección en situaciones en las que es imprescindible que los datos no se modifiquen ni se borren. La función puede proporcionar protección durante un periodo de tiempo fijo o indefinidamente.

Question 27

Client-side encryption (CSE)

Answer 27

Sus aplicaciones cifran los datos localmente antes de enviarlos a AWS y los descifran después de recibirlos de AWS. Usted crea y administra sus propias claves de cifrado.

Question 28

Server-side encryption (SSE)

Answer 28

Sus datos son cifrados en su destino por la aplicación o el servicio que los recibe. Por ejemplo, si utiliza SSE con Amazon S3, el servicio cifra sus datos a nivel de objeto cuando escribe en los discos de los centros de datos de AWS y los descifra para usted cuando accede a ellos.

Question 29

Tipos de Server-side encryption (SSE)

Answer 29

·SSE-C: El cliente conserva el control de sus claves y AWS S3 no almacena la encriptación de llaves que el cliente provee.

·SSE-S3: AWS administra las claves la encriptación de las llaves y data se almacena en dispositivos separados.

·SSE-KMS: AWS administra las claves y se utiliza una clave de sobra para mayor protección.

Question 30

Secure Sockets Layer (SSL)

Answer 30

Protocolo que se utiliza para establecer conexiones seguras y cifradas entre un cliente y un servidor en una red, generalmente en Internet