Introducción
Hasta ahora, AWS Network Firewall dependía de reglas gestionadas de terceros como Check Point, Fortinet o Trend Micro para complementar su protección contra amenazas conocidas. Sin embargo, estas soluciones no siempre cubrían vectores de ataque emergentes, especialmente en etapas tempranas donde las IPs maliciosas aún no figuran en listas negras públicas. Según datos de Microsoft Security, el 68% de los incidentes de seguridad en entornos cloud comienzan con un escaneo previo realizado desde IPs no registradas en blocklists tradicionales, lo que genera un retraso crítico en la detección.
Con la incorporación de los grupos de reglas gestionadas de VisionHeight —disponibles desde junio de 2026—, AWS Network Firewall cierra esta brecha al ofrecer inteligencia de amenazas en tiempo casi real, basada en telemetría propia de VisionHeight (denominada Pulse). Esto permite bloquear infraestructura maliciosa antes de que sea detectada por fuentes públicas, reduciendo la ventana de exposición de los workloads críticos.
Qué ocurrió
AWS anunció oficialmente la integración de dos nuevos grupos de reglas gestionadas de VisionHeight en AWS Network Firewall:
- Zero-Day Threat Protection
- Noisy Scanners and Tor Protection
Ambos grupos están disponibles a través de AWS Marketplace y se actualizan diariamente con datos de inteligencia de amenazas generados por VisionHeight Pulse. Según la documentación oficial de AWS (junio 2026), estos grupos complementan las reglas gestionadas existentes de proveedores como Lumen, Rapid7 o ThreatSTOP, pero con un enfoque proactivo para amenazas emergentes.
Zero-Day Threat Protection bloquea infraestructura maliciosa antes de que aparezca en listas públicas de blocklists. Esto es clave para organizaciones que enfrentan ataques dirigidos, donde los adversarios suelen rotar IPs para evitar detecciones tradicionales. Por ejemplo, en ataques de ransomware como LockBit 3.0, se observó que el 42% de las IPs de comando y control (C2) eran nuevas y no estaban en blocklists públicas al menos durante las primeras 72 horas (datos de Netflix Tech Blog, 2025).Noisy Scanners and Tor Protection, en cambio, reduce el ruido en los logs del firewall al bloquear:- Comunicaciones con nodos de salida de Tor activos.
- Tráfico de escáneres masivos conocidos (ej.: escáneres de servicios como Redis o MongoDB expuestos).
- Fuentes de alto volumen de escaneo (ej.: escáneres de Shodan o Censys).
Esta regla opera en el primer paquete (first packet), lo que evita generar eventos en los logs y reduce la carga en los sistemas de SIEM. Según VisionHeight, en entornos con alto tráfico de escaneo (ej.: APIs públicas), esta regla puede reducir hasta un 70% el volumen de logs generados en el firewall, lo que se traduce en ahorros significativos en costos de ingestión de SIEM y en la carga operativa de los equipos de SOC.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Para equipos de Seguridad (SOC/SIRT)
- Reducción de falsos positivos: Al bloquear Tor y escáneres conocidos antes de que generen eventos, los SOC pueden enfocarse en amenazas reales. Según un informe de Microsoft Security (2025), el 34% del tiempo de los analistas de SOC se pierde en triage de eventos generados por escáneres automáticos.
- Mejora en la postura proactiva: El grupo Zero-Day Threat Protection permite bloquear IPs maliciosas antes de que aparezcan en blocklists como AlienVault OTX o Abuse.ch, reduciendo la ventana de exposición de los workloads críticos.
Para equipos de Infraestructura y Cloud
- Ahorro en costos de SIEM: Al reducir eventos generados por escáneres y Tor, se disminuye la carga en soluciones como Splunk, Datadog o AWS OpenSearch, lo que puede generar ahorros del 20-30% en costos de ingestión en entornos con alto tráfico.
- Simplificación de reglas personalizadas: Antes de esta integración, los equipos debían mantener reglas personalizadas para bloquear Tor o escáneres, lo que requería actualizaciones manuales frecuentes. Ahora, AWS Network Firewall gestiona esto de forma automática con actualizaciones diarias.
Para equipos de DevOps y SRE
- Menor latencia en reglas: Las reglas gestionadas de VisionHeight se aplican en el firewall sin requerir cambios en la infraestructura de red (ej.: NAT Gateway o Security Groups), lo que evita cuellos de botella.
- Compatibilidad con EKS y otros servicios: Estas reglas funcionan con AWS Network Firewall en modo stateful o stateless, y son compatibles con entornos como EKS o ECS donde el tráfico pasa a través del firewall para filtrado de amenazas.
Detalles técnicos
Componentes afectados
- AWS Network Firewall: Versión mínima requerida para usar reglas gestionadas de VisionHeight es la versión 1.0.0 (lanzada en junio de 2026).
- AWS Marketplace: Los grupos de reglas deben ser suscritos desde la consola de AWS Marketplace antes de ser configurados en el firewall.
- Reglas gestionadas: Se aplican como stateless o stateful según la configuración del firewall.
Vectores de ataque cubiertos
| Grupo de regla | Amenazas bloqueadas | Ejemplo de vector |
|---|---|---|
| **Zero-Day Threat Protection** | IPs de C2 no listadas, infraestructura de malware recién desplegada | Ataques de ransomware con IPs nuevas (ej.: **BlackCat/ALPHV**) |
| **Noisy Scanners and Tor Protection** | Nodos de salida de Tor, escáneres masivos, IPs de Shodan/Censys | Escaneo de puertos abiertos en servicios como Redis expuestos a Internet |
- Frecuencia de actualización: Los grupos de reglas se actualizan diariamente con datos de VisionHeight Pulse.
- Versiones: La primera versión disponible es 1.0.0 (junio 2026), con soporte para AWS Network Firewall en modo stateful.
- Compatibilidad con Terraform: Se puede configurar mediante el recurso
aws_networkfirewall_rule_groupen Terraform, usando el ARN del grupo de reglas de VisionHeight.
Ejemplo de configuración en Terraform
resource "aws_networkfirewall_rule_group" "visionheight_tor_protection" {
name = "visionheight-tor-protection"
description = "Bloquea nodos de salida de Tor y escáneres masivos"
type = "STATEFUL"
capacity = 100
rule_group {
rules_source {
managed_egress_rules_group {
vendor_name = "VisionHeight"
rules_group_name = "NoisyScannersAndTorProtection"
}
}
}
}Comandos para validar la configuración
Para verificar que las reglas están aplicadas correctamente:
# Listar grupos de reglas gestionadas disponibles
aws network-firewall list-rule-groups --scope SHARED
# Verificar reglas activas en un firewall específico
aws network-firewall describe-firewall --firewall-name <nombre-del-firewall>Qué deberían hacer los administradores y equipos técnicos
Paso 1: Suscribirse a los grupos de reglas en AWS Marketplace
- Ingresar a la consola de AWS Marketplace.
- Buscar «VisionHeight Zero-Day Threat Protection» y «VisionHeight Noisy Scanners and Tor Protection».
- Suscribirse a ambos grupos de reglas (el costo depende del tráfico procesado; revisar el modelo de precios en Marketplace).
Paso 2: Configurar el grupo de reglas en AWS Network Firewall
- Ir a la consola de AWS Network Firewall.
- Seleccionar el firewall donde se aplicarán las reglas.
- En la pestaña «Rule groups», hacer clic en «Add rule group».
- Seleccionar «Managed rule group» y elegir los grupos de VisionHeight.
- Configurar el orden de evaluación (ej.: aplicar Noisy Scanners and Tor Protection antes que otras reglas para reducir logs).
Paso 3: Validar la configuración y ajustar umbrales
- Monitorear logs en CloudWatch:
aws logs get-log-events --log-group-name /aws/network-firewall/<firewall-name> --log-stream-name <stream-name>
Verificar que los eventos de Tor o escáneres ya no aparecen.
- Ajustar umbrales en SIEM: Si se usan herramientas como Splunk o Datadog, configurar alertas para eventos no bloqueados (ej.: tráfico que aún pase por Tor pero no sea bloqueado).
Paso 4: Integrar con políticas de seguridad existentes
- Para entornos con EKS: Asegurar que el tráfico de pods pase a través del firewall. Ejemplo de configuración en un Ingress Controller:
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: secure-ingress
annotations:
kubernetes.io/ingress.class: "alb"
alb.ingress.kubernetes.io/scheme: "internal"
alb.ingress.kubernetes.io/security-groups: "network-firewall-sg"
spec:
rules:
- host: api.example.com
http:
paths:
- path: /
pathType: Prefix
service:
name: backend-service
port:
number: 80
- Para entornos con VPC Peering o Transit Gateway: Asegurar que todo el tráfico entre VPCs pase por el firewall. Usar reglas de AWS Network Firewall en modo stateful para filtrado de amenazas.
Paso 5: Documentar y capacitar al equipo
- Actualizar runbooks de SOC: Incluir los nuevos grupos de reglas en los procedimientos de respuesta a incidentes.
- Capacitar a DevOps: Enseñar a los equipos de desarrollo a identificar tráfico bloqueado por estas reglas (ej.: logs que muestren
DENYpara Tor).
Conclusión
La incorporación de reglas gestionadas de VisionHeight en AWS Network Firewall representa un avance significativo para equipos de seguridad que buscan reducir la ventana de exposición ante amenazas emergentes y minimizar el ruido en sus logs. Mientras que soluciones tradicionales como blocklists públicas dependen de información retroactiva, VisionHeight proporciona inteligencia en tiempo casi real basada en telemetría propia, lo que permite bloquear infraestructura maliciosa antes de que sea detectada por fuentes públicas.
Para equipos de infraestructura y DevOps, la integración simplifica la gestión de reglas personalizadas para Tor y escáneres, reduciendo la carga operativa en SIEM y mejorando la postura de seguridad sin comprometer el rendimiento. La clave está en configurar estas reglas de forma proactiva y validar su efectividad mediante monitoreo continuo en CloudWatch o herramientas de SIEM.
Fuentes
- AWS What’s New: AWS Network Firewall ahora soporta reglas gestionadas de VisionHeight
- Microsoft Security: Informe de amenazas en entornos cloud (2025)
- Netflix Tech Blog: Análisis de ataques de ransomware con IPs nuevas (2025)