🔍 Diferencias entre CloudTrail, AWS Config y GuardDuty
Keiny Pacheco| Servicio | ¿Qué hace? | ¿Para qué sirve? | Tipo de datos que recolecta |
| AWS CloudTrail | Registra quién hizo qué en tu cuenta AWS (acciones API). | Auditoría, cumplimiento, análisis de seguridad. | Llamadas a API (logs de eventos) |
| AWS Config | Registra el estado de tus recursos y cómo han cambiado. | Monitoreo de configuración, cumplimiento y cambios. | Historial de configuración de recursos |
| Amazon GuardDuty | Detecta comportamiento sospechoso y posibles amenazas automáticamente. | Seguridad, detección de amenazas. | Análisis de logs y patrones (inteligencia de amenazas) |
1. 🧾 AWS CloudTrail – Auditor de eventos
🧠 ¿Qué hace?
Registra todas las llamadas a la API que se hacen en tu cuenta AWS.
Te dice quién hizo qué, cuándo, desde dónde, y con qué permisos.
✅ ¿Cuándo usarlo?
Para saber si alguien eliminó un bucket, lanzó una instancia, cambió una política.
Para rastrear actividades sospechosas o errores humanos.
Para cumplir requisitos de auditoría.
🔍 Ejemplo:
“¿Quién borró esta base de datos ayer?” → CloudTrail tiene la respuesta.
2. 🧮 AWS Config – Historiador de recursos
🧠 ¿Qué hace?
Guarda el estado de configuración de tus recursos (como EC2, S3, VPC).
Te dice cómo estaba un recurso en el tiempo, y te alerta si algo cambia.
También te permite definir reglas de cumplimiento ("compliance").
✅ ¿Cuándo usarlo?
Cuando quieres saber cómo ha cambiado la configuración de tus recursos.
Para asegurarte de que los recursos cumplen con las políticas internas.
Para ver cómo estaba un recurso antes de que algo fallara.
🔍 Ejemplo:
“¿Este bucket tenía cifrado habilitado la semana pasada?” → AWS Config lo sabe.
3. 🛡️ Amazon GuardDuty – Detective de amenazas
🧠 ¿Qué hace?
Analiza logs de AWS (CloudTrail, VPC Flow Logs, DNS Logs).
Detecta patrones anómalos o maliciosos: escaneos de puertos, intentos de hackeo, IPs maliciosas.
Usa Machine Learning + inteligencia de amenazas.
✅ ¿Cuándo usarlo?
Para detectar intrusiones, malware, bots, accesos desde lugares sospechosos.
Para proteger tu cuenta sin configurar reglas complejas.
🔍 Ejemplo:
“Un atacante en Rusia está intentando entrar por SSH a tu EC2 desde una IP maliciosa” → GuardDuty te avisa.
🪄 Analogía para recordarlos
Imagina que tienes una casa inteligente:
| Servicio | Analogía en la casa |
| CloudTrail | Una cámara de seguridad que graba todo lo que hacen las personas en la casa: quién entró, qué botón presionó, qué puerta abrió. |
| AWS Config | Un inventario inteligente que registra cómo están las cosas: temperatura, posición de las persianas, si la alarma está activa o no… y qué cambió. |
| GuardDuty | Un sistema antirrobo con IA que analiza patrones y detecta si alguien intenta forzar la cerradura o si hay comportamientos sospechosos. |
🧠 ¿Puedo usar los tres juntos?
¡Sí! De hecho, se complementan perfectamente:
CloudTrail te dice quién hizo algo.
Config te dice qué cambió y cómo era antes.
GuardDuty te dice si eso parece una amenaza.
Subscribe to my newsletter
Read articles from Keiny Pacheco directly inside your inbox. Subscribe to the newsletter, and don't miss out.
Written by