Este artículo explica paso a paso cómo desplegar un servidor Wazuh All-in-One seguro en AWS y cómo configurar los grupos de nodos de Amazon EKS para que instalen automáticamente el agente Wazuh, permitiendo detección de vulnerabilidades y monitorización continua de las cargas de trabajo en Kubernetes.
Qué es Wazuh y por qué usarlo. Wazuh es una plataforma open source para detección de amenazas, respuesta a incidentes y cumplimiento normativo. Permite recopilar logs, analizar integridad de ficheros, detectar vulnerabilidades y orquestar alertas en tiempo real en entornos de producción, ideal para proteger nodos EKS y cargas Kubernetes.
Requisitos básicos. Necesitarás cuenta AWS y AWS CLI con permisos para VPC, EC2, ACM PCA y Client VPN, un CA privado en ACM PCA o un CA externo controlado por ti y OpenSSL en tu estación de trabajo.
Resumen de la arquitectura recomendada. Crear una VPC con una segmentación mínima: una subnet publica para un NAT Gateway, una subnet privada para el servidor Wazuh, y otra subnet privada dedicada a recursos VPN. Además un rango no solapado para los clientes VPN. El servidor Wazuh permanecerá sin IP publica y todo el acceso se hará mediante VPN mutua basada en certificados o mediante acceso gestionado por AWS Systems Manager si se prefiere reducir costes.
Ejemplo de segmentación CIDR para una sola zona de disponibilidad: VPC 10.50.0.0/24; Subnet publica 10.50.0.0/28 para NAT; Subnet privada Wazuh 10.50.0.32/27; Subnet privada VPN 10.50.0.64/27; Pool Client VPN 10.50.8.0/22. Crear tablas de rutas asociadas y configurar la ruta hacia Internet desde la subnet privada vía NAT Gateway.
Conectividad entre VPCs. Si EKS vive en otra VPC, crear un peering entre la VPC de EKS y la VPC de Wazuh o utilizar TGW para simplificar el enrutamiento. Mantener Wazuh en subnets privadas reduce exposición y mejora segmentación.
Certificados con ACM PCA. Generar CSR y claves con OpenSSL: openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj /CN=wazuh.server -addext extendedKeyUsage=serverAuth. Emitir con ACM PCA: aws acm-pca issue-certificate --certificate-authority-arn pca-arn --csr fileb://server.csr --signing-algorithm SHA256WITHRSA --validity Value=365,Type=DAYS --idempotency-token vpn-cert-01. Recuperar certificado: aws acm-pca get-certificate --certificate-authority-arn pca-arn --certificate-arn certificate-arn --output text > server.crt. Importar en ACM: aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca-chain.pem.
Cliente mutuo. Para el certificado cliente: openssl req -new -newkey rsa:2048 -nodes -keyout client.key -out client.csr -subj /CN=wazuh.client -addext keyUsage=digitalSignature,keyEncipherment -addext extendedKeyUsage=clientAuth. Emitir con plantilla de cliente EndEntityClientAuthCertificate en ACM PCA: aws acm-pca issue-certificate --certificate-authority-arn pca-arn --csr fileb://client.csr --signing-algorithm SHA256WITHRSA --validity Value=365,Type=DAYS --idempotency-token vpn-cert-02 --template-arn arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1. Recuperar certificado de cliente similar al anterior.
Grupos de seguridad. Crear un SG para Client VPN permitiendo entrada UDP 443 desde el rango VPN y permitir el tráfico necesario hacia la VPC. Crear un SG para el servidor Wazuh que permita solo los puertos 22, 443, 1514 y 1515 desde el CIDR de VPN. Usar comandos aws ec2 create-security-group y aws ec2 authorize-security-group-ingress según tus ids de VPC y subnets.
Crear el endpoint Client VPN usando el certificado de servidor y la cadena de CA para autenticación mutua: aws ec2 create-client-vpn-endpoint --client-cidr-block vpn-client-cidr --server-certificate-arn server-cert-arn --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=ca-arn} --dns-servers 8.8.8.8 8.8.4.4 --transport-protocol udp --vpc-id vpc-id --security-group-ids vpn-sg-id. Asociar la endpoint con la subnet VPN, crear rutas al subnet del servidor Wazuh y autorizar el acceso desde los grupos necesarios.
Despliegue del Wazuh All-in-One. Lanzar la AMI oficial de Wazuh en la subnet privada sin asignar IP publica y asociar el SG de Wazuh. No es necesaria IP publica; la conectividad se realiza por VPN o por acceso gestionado por SSM.
Configurar el cliente VPN. Descargar el fichero de configuración ovpn, insertar el certificado cliente, la clave y la CA dentro del mismo y usar el cliente AWS VPN o un cliente OpenVPN. Conectar y verificar que la consola web de Wazuh y los puertos 1514 y 1515 están accesibles solo desde el túnel VPN.
Instalación automática del agente Wazuh en nodos EKS. Crear una Launch Template para los nodos EC2 gestionados que incluya un user data que descargue e instale el paquete del agente Wazuh y lo configure para apuntar al Wazuh Manager privado. Ejemplo de pasos del script: descargar paquete rpm desde packages.wazuh.com, configurar WAZUH_MANAGER con la IP privada del servidor Wazuh y habilitar e iniciar el servicio wazuh-agent. Tras crear el launch template, añadirlo al Node Group en EKS para que todos los nodos se registren automáticamente en el panel de Wazuh.
Buenas prácticas y alternativas. Aunque Client VPN con certificados privados ofrece una solución muy segura, su mantenimiento y coste pueden crecer. Una alternativa práctica es usar AWS Systems Manager Session Manager con port forwarding para acceder al dashboard de Wazuh sin exponer subnets ni requerir infraestructura VPN adicional. Esta opción delega control de acceso en la capa de servicio y reduce complejidad y coste manteniendo un alto nivel de seguridad.
Sobre Q2BSTUDIO. En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en inteligencia artificial, ciberseguridad y servicios cloud. Ofrecemos soluciones de software a medida y aplicaciones a medida diseñadas para integrar seguridad y observabilidad desde el inicio del proyecto. Si buscas migrar o asegurar cargas en nube pública contamos con experiencia en servicios cloud aws y azure y en estrategias de ciberseguridad que incluyen detección de intrusiones y auditoría continua. Además desarrollamos proyectos de inteligencia artificial y soluciones IA para empresas, agentes IA y cuadros de mando con Power BI para potenciar la inteligencia de negocio.
Palabras clave. Este artículo incorpora conceptos y servicios relacionados con aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi para mejorar posicionamiento y visibilidad en búsquedas técnicas.
Si necesitas ayuda para implementar Wazuh en AWS, integrar protección en tu clúster EKS o desarrollar aplicaciones seguras y escalables ponte en contacto con nuestro equipo de especialistas en ciberseguridad y desarrollo. Con Q2BSTUDIO puedes acelerar la adopción de soluciones de monitorización, automatización y análisis con la garantía de una implementación profesional y orientada a resultados. Conoce más sobre nuestros servicios de ciberseguridad y pentesting en estrategias y servicios de ciberseguridad.