🔍 Diferencias entre CloudTrail, AWS Config y GuardDuty

Keiny PachecoKeiny Pacheco
3 min read
Servicio¿Qué hace?¿Para qué sirve?Tipo de datos que recolecta
AWS CloudTrailRegistra quién hizo qué en tu cuenta AWS (acciones API).Auditoría, cumplimiento, análisis de seguridad.Llamadas a API (logs de eventos)
AWS ConfigRegistra el estado de tus recursos y cómo han cambiado.Monitoreo de configuración, cumplimiento y cambios.Historial de configuración de recursos
Amazon GuardDutyDetecta comportamiento sospechoso y posibles amenazas automáticamente.Seguridad, detección de amenazas.Análisis de logs y patrones (inteligencia de amenazas)

1. 🧾 AWS CloudTrailAuditor de eventos

🧠 ¿Qué hace?

  • Registra todas las llamadas a la API que se hacen en tu cuenta AWS.

  • Te dice quién hizo qué, cuándo, desde dónde, y con qué permisos.

✅ ¿Cuándo usarlo?

  • Para saber si alguien eliminó un bucket, lanzó una instancia, cambió una política.

  • Para rastrear actividades sospechosas o errores humanos.

  • Para cumplir requisitos de auditoría.

🔍 Ejemplo:

“¿Quién borró esta base de datos ayer?” → CloudTrail tiene la respuesta.

2. 🧮 AWS ConfigHistoriador de recursos

🧠 ¿Qué hace?

  • Guarda el estado de configuración de tus recursos (como EC2, S3, VPC).

  • Te dice cómo estaba un recurso en el tiempo, y te alerta si algo cambia.

  • También te permite definir reglas de cumplimiento ("compliance").

✅ ¿Cuándo usarlo?

  • Cuando quieres saber cómo ha cambiado la configuración de tus recursos.

  • Para asegurarte de que los recursos cumplen con las políticas internas.

  • Para ver cómo estaba un recurso antes de que algo fallara.

🔍 Ejemplo:

“¿Este bucket tenía cifrado habilitado la semana pasada?” → AWS Config lo sabe.

3. 🛡️ Amazon GuardDutyDetective de amenazas

🧠 ¿Qué hace?

  • Analiza logs de AWS (CloudTrail, VPC Flow Logs, DNS Logs).

  • Detecta patrones anómalos o maliciosos: escaneos de puertos, intentos de hackeo, IPs maliciosas.

  • Usa Machine Learning + inteligencia de amenazas.

✅ ¿Cuándo usarlo?

  • Para detectar intrusiones, malware, bots, accesos desde lugares sospechosos.

  • Para proteger tu cuenta sin configurar reglas complejas.

🔍 Ejemplo:

“Un atacante en Rusia está intentando entrar por SSH a tu EC2 desde una IP maliciosa” → GuardDuty te avisa.

🪄 Analogía para recordarlos

Imagina que tienes una casa inteligente:

ServicioAnalogía en la casa
CloudTrailUna cámara de seguridad que graba todo lo que hacen las personas en la casa: quién entró, qué botón presionó, qué puerta abrió.
AWS ConfigUn inventario inteligente que registra cómo están las cosas: temperatura, posición de las persianas, si la alarma está activa o no… y qué cambió.
GuardDutyUn sistema antirrobo con IA que analiza patrones y detecta si alguien intenta forzar la cerradura o si hay comportamientos sospechosos.

🧠 ¿Puedo usar los tres juntos?

¡Sí! De hecho, se complementan perfectamente:

  • CloudTrail te dice quién hizo algo.

  • Config te dice qué cambió y cómo era antes.

  • GuardDuty te dice si eso parece una amenaza.

0
Subscribe to my newsletter

Read articles from Keiny Pacheco directly inside your inbox. Subscribe to the newsletter, and don't miss out.

Written by

Keiny Pacheco
Keiny Pacheco