Protegiendo nuestros nodos EKS con Wazuh

Guía paso a paso para desplegar Wazuh All-in-One seguro en AWS, automatizar el agente en nodos EKS y monitorizar cargas Kubernetes con VPN o AWS SSM.

19 sept 2025 • 5 min de lectura • Equip Q2BSTUDIO

Inteligencia-Artificial-

Este artículo explica paso a paso cómo desplegar un servidor Wazuh All-in-One seguro en AWS y cómo configurar los grupos de nodos de Amazon EKS para que instalen automáticamente el agente Wazuh, permitiendo detección de vulnerabilidades y monitorización continua de las cargas de trabajo en Kubernetes.

Qué es Wazuh y por qué usarlo. Wazuh es una plataforma open source para detección de amenazas, respuesta a incidentes y cumplimiento normativo. Permite recopilar logs, analizar integridad de ficheros, detectar vulnerabilidades y orquestar alertas en tiempo real en entornos de producción, ideal para proteger nodos EKS y cargas Kubernetes.

Requisitos básicos. Necesitarás cuenta AWS y AWS CLI con permisos para VPC, EC2, ACM PCA y Client VPN, un CA privado en ACM PCA o un CA externo controlado por ti y OpenSSL en tu estación de trabajo.

Resumen de la arquitectura recomendada. Crear una VPC con una segmentación mínima: una subnet publica para un NAT Gateway, una subnet privada para el servidor Wazuh, y otra subnet privada dedicada a recursos VPN. Además un rango no solapado para los clientes VPN. El servidor Wazuh permanecerá sin IP publica y todo el acceso se hará mediante VPN mutua basada en certificados o mediante acceso gestionado por AWS Systems Manager si se prefiere reducir costes.

Ejemplo de segmentación CIDR para una sola zona de disponibilidad: VPC 10.50.0.0/24; Subnet publica 10.50.0.0/28 para NAT; Subnet privada Wazuh 10.50.0.32/27; Subnet privada VPN 10.50.0.64/27; Pool Client VPN 10.50.8.0/22. Crear tablas de rutas asociadas y configurar la ruta hacia Internet desde la subnet privada vía NAT Gateway.

Conectividad entre VPCs. Si EKS vive en otra VPC, crear un peering entre la VPC de EKS y la VPC de Wazuh o utilizar TGW para simplificar el enrutamiento. Mantener Wazuh en subnets privadas reduce exposición y mejora segmentación.

Certificados con ACM PCA. Generar CSR y claves con OpenSSL: openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj /CN=wazuh.server -addext extendedKeyUsage=serverAuth. Emitir con ACM PCA: aws acm-pca issue-certificate --certificate-authority-arn pca-arn --csr fileb://server.csr --signing-algorithm SHA256WITHRSA --validity Value=365,Type=DAYS --idempotency-token vpn-cert-01. Recuperar certificado: aws acm-pca get-certificate --certificate-authority-arn pca-arn --certificate-arn certificate-arn --output text > server.crt. Importar en ACM: aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca-chain.pem.

Cliente mutuo. Para el certificado cliente: openssl req -new -newkey rsa:2048 -nodes -keyout client.key -out client.csr -subj /CN=wazuh.client -addext keyUsage=digitalSignature,keyEncipherment -addext extendedKeyUsage=clientAuth. Emitir con plantilla de cliente EndEntityClientAuthCertificate en ACM PCA: aws acm-pca issue-certificate --certificate-authority-arn pca-arn --csr fileb://client.csr --signing-algorithm SHA256WITHRSA --validity Value=365,Type=DAYS --idempotency-token vpn-cert-02 --template-arn arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1. Recuperar certificado de cliente similar al anterior.

Grupos de seguridad. Crear un SG para Client VPN permitiendo entrada UDP 443 desde el rango VPN y permitir el tráfico necesario hacia la VPC. Crear un SG para el servidor Wazuh que permita solo los puertos 22, 443, 1514 y 1515 desde el CIDR de VPN. Usar comandos aws ec2 create-security-group y aws ec2 authorize-security-group-ingress según tus ids de VPC y subnets.

Crear el endpoint Client VPN usando el certificado de servidor y la cadena de CA para autenticación mutua: aws ec2 create-client-vpn-endpoint --client-cidr-block vpn-client-cidr --server-certificate-arn server-cert-arn --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=ca-arn} --dns-servers 8.8.8.8 8.8.4.4 --transport-protocol udp --vpc-id vpc-id --security-group-ids vpn-sg-id. Asociar la endpoint con la subnet VPN, crear rutas al subnet del servidor Wazuh y autorizar el acceso desde los grupos necesarios.

Despliegue del Wazuh All-in-One. Lanzar la AMI oficial de Wazuh en la subnet privada sin asignar IP publica y asociar el SG de Wazuh. No es necesaria IP publica; la conectividad se realiza por VPN o por acceso gestionado por SSM.

Configurar el cliente VPN. Descargar el fichero de configuración ovpn, insertar el certificado cliente, la clave y la CA dentro del mismo y usar el cliente AWS VPN o un cliente OpenVPN. Conectar y verificar que la consola web de Wazuh y los puertos 1514 y 1515 están accesibles solo desde el túnel VPN.

Instalación automática del agente Wazuh en nodos EKS. Crear una Launch Template para los nodos EC2 gestionados que incluya un user data que descargue e instale el paquete del agente Wazuh y lo configure para apuntar al Wazuh Manager privado. Ejemplo de pasos del script: descargar paquete rpm desde packages.wazuh.com, configurar WAZUH_MANAGER con la IP privada del servidor Wazuh y habilitar e iniciar el servicio wazuh-agent. Tras crear el launch template, añadirlo al Node Group en EKS para que todos los nodos se registren automáticamente en el panel de Wazuh.

Buenas prácticas y alternativas. Aunque Client VPN con certificados privados ofrece una solución muy segura, su mantenimiento y coste pueden crecer. Una alternativa práctica es usar AWS Systems Manager Session Manager con port forwarding para acceder al dashboard de Wazuh sin exponer subnets ni requerir infraestructura VPN adicional. Esta opción delega control de acceso en la capa de servicio y reduce complejidad y coste manteniendo un alto nivel de seguridad.

Sobre Q2BSTUDIO. En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en inteligencia artificial, ciberseguridad y servicios cloud. Ofrecemos soluciones de software a medida y aplicaciones a medida diseñadas para integrar seguridad y observabilidad desde el inicio del proyecto. Si buscas migrar o asegurar cargas en nube pública contamos con experiencia en servicios cloud aws y azure y en estrategias de ciberseguridad que incluyen detección de intrusiones y auditoría continua. Además desarrollamos proyectos de inteligencia artificial y soluciones IA para empresas, agentes IA y cuadros de mando con Power BI para potenciar la inteligencia de negocio.

Palabras clave. Este artículo incorpora conceptos y servicios relacionados con aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi para mejorar posicionamiento y visibilidad en búsquedas técnicas.

Si necesitas ayuda para implementar Wazuh en AWS, integrar protección en tu clúster EKS o desarrollar aplicaciones seguras y escalables ponte en contacto con nuestro equipo de especialistas en ciberseguridad y desarrollo. Con Q2BSTUDIO puedes acelerar la adopción de soluciones de monitorización, automatización y análisis con la garantía de una implementación profesional y orientada a resultados. Conoce más sobre nuestros servicios de ciberseguridad y pentesting en estrategias y servicios de ciberseguridad.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.

Live Chat