Protegiendo nuestros nodos EKS con Wazuh

Guía paso a paso para desplegar Wazuh All-in-One seguro en AWS, automatizar el agente en nodos EKS y monitorizar cargas Kubernetes con VPN o AWS SSM.

19 sept 2025 • 5 min de lectura • Equipo Q2BSTUDIO

Inteligencia-Artificial-

Este artículo explica paso a paso cómo desplegar un servidor Wazuh All-in-One seguro en AWS y cómo configurar los grupos de nodos de Amazon EKS para que instalen automáticamente el agente Wazuh, permitiendo detección de vulnerabilidades y monitorización continua de las cargas de trabajo en Kubernetes.

Qué es Wazuh y por qué usarlo. Wazuh es una plataforma open source para detección de amenazas, respuesta a incidentes y cumplimiento normativo. Permite recopilar logs, analizar integridad de ficheros, detectar vulnerabilidades y orquestar alertas en tiempo real en entornos de producción, ideal para proteger nodos EKS y cargas Kubernetes.

Requisitos básicos. Necesitarás cuenta AWS y AWS CLI con permisos para VPC, EC2, ACM PCA y Client VPN, un CA privado en ACM PCA o un CA externo controlado por ti y OpenSSL en tu estación de trabajo.

Resumen de la arquitectura recomendada. Crear una VPC con una segmentación mínima: una subnet publica para un NAT Gateway, una subnet privada para el servidor Wazuh, y otra subnet privada dedicada a recursos VPN. Además un rango no solapado para los clientes VPN. El servidor Wazuh permanecerá sin IP publica y todo el acceso se hará mediante VPN mutua basada en certificados o mediante acceso gestionado por AWS Systems Manager si se prefiere reducir costes.

Ejemplo de segmentación CIDR para una sola zona de disponibilidad: VPC 10.50.0.0/24; Subnet publica 10.50.0.0/28 para NAT; Subnet privada Wazuh 10.50.0.32/27; Subnet privada VPN 10.50.0.64/27; Pool Client VPN 10.50.8.0/22. Crear tablas de rutas asociadas y configurar la ruta hacia Internet desde la subnet privada vía NAT Gateway.

Conectividad entre VPCs. Si EKS vive en otra VPC, crear un peering entre la VPC de EKS y la VPC de Wazuh o utilizar TGW para simplificar el enrutamiento. Mantener Wazuh en subnets privadas reduce exposición y mejora segmentación.

Certificados con ACM PCA. Generar CSR y claves con OpenSSL: openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj /CN=wazuh.server -addext extendedKeyUsage=serverAuth. Emitir con ACM PCA: aws acm-pca issue-certificate --certificate-authority-arn pca-arn --csr fileb://server.csr --signing-algorithm SHA256WITHRSA --validity Value=365,Type=DAYS --idempotency-token vpn-cert-01. Recuperar certificado: aws acm-pca get-certificate --certificate-authority-arn pca-arn --certificate-arn certificate-arn --output text > server.crt. Importar en ACM: aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca-chain.pem.

Cliente mutuo. Para el certificado cliente: openssl req -new -newkey rsa:2048 -nodes -keyout client.key -out client.csr -subj /CN=wazuh.client -addext keyUsage=digitalSignature,keyEncipherment -addext extendedKeyUsage=clientAuth. Emitir con plantilla de cliente EndEntityClientAuthCertificate en ACM PCA: aws acm-pca issue-certificate --certificate-authority-arn pca-arn --csr fileb://client.csr --signing-algorithm SHA256WITHRSA --validity Value=365,Type=DAYS --idempotency-token vpn-cert-02 --template-arn arn:aws:acm-pca:::template/EndEntityClientAuthCertificate/V1. Recuperar certificado de cliente similar al anterior.

Grupos de seguridad. Crear un SG para Client VPN permitiendo entrada UDP 443 desde el rango VPN y permitir el tráfico necesario hacia la VPC. Crear un SG para el servidor Wazuh que permita solo los puertos 22, 443, 1514 y 1515 desde el CIDR de VPN. Usar comandos aws ec2 create-security-group y aws ec2 authorize-security-group-ingress según tus ids de VPC y subnets.

Crear el endpoint Client VPN usando el certificado de servidor y la cadena de CA para autenticación mutua: aws ec2 create-client-vpn-endpoint --client-cidr-block vpn-client-cidr --server-certificate-arn server-cert-arn --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=ca-arn} --dns-servers 8.8.8.8 8.8.4.4 --transport-protocol udp --vpc-id vpc-id --security-group-ids vpn-sg-id. Asociar la endpoint con la subnet VPN, crear rutas al subnet del servidor Wazuh y autorizar el acceso desde los grupos necesarios.

Despliegue del Wazuh All-in-One. Lanzar la AMI oficial de Wazuh en la subnet privada sin asignar IP publica y asociar el SG de Wazuh. No es necesaria IP publica; la conectividad se realiza por VPN o por acceso gestionado por SSM.

Configurar el cliente VPN. Descargar el fichero de configuración ovpn, insertar el certificado cliente, la clave y la CA dentro del mismo y usar el cliente AWS VPN o un cliente OpenVPN. Conectar y verificar que la consola web de Wazuh y los puertos 1514 y 1515 están accesibles solo desde el túnel VPN.

Instalación automática del agente Wazuh en nodos EKS. Crear una Launch Template para los nodos EC2 gestionados que incluya un user data que descargue e instale el paquete del agente Wazuh y lo configure para apuntar al Wazuh Manager privado. Ejemplo de pasos del script: descargar paquete rpm desde packages.wazuh.com, configurar WAZUH_MANAGER con la IP privada del servidor Wazuh y habilitar e iniciar el servicio wazuh-agent. Tras crear el launch template, añadirlo al Node Group en EKS para que todos los nodos se registren automáticamente en el panel de Wazuh.

Buenas prácticas y alternativas. Aunque Client VPN con certificados privados ofrece una solución muy segura, su mantenimiento y coste pueden crecer. Una alternativa práctica es usar AWS Systems Manager Session Manager con port forwarding para acceder al dashboard de Wazuh sin exponer subnets ni requerir infraestructura VPN adicional. Esta opción delega control de acceso en la capa de servicio y reduce complejidad y coste manteniendo un alto nivel de seguridad.

Sobre Q2BSTUDIO. En Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en inteligencia artificial, ciberseguridad y servicios cloud. Ofrecemos soluciones de software a medida y aplicaciones a medida diseñadas para integrar seguridad y observabilidad desde el inicio del proyecto. Si buscas migrar o asegurar cargas en nube pública contamos con experiencia en servicios cloud aws y azure y en estrategias de ciberseguridad que incluyen detección de intrusiones y auditoría continua. Además desarrollamos proyectos de inteligencia artificial y soluciones IA para empresas, agentes IA y cuadros de mando con Power BI para potenciar la inteligencia de negocio.

Palabras clave. Este artículo incorpora conceptos y servicios relacionados con aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi para mejorar posicionamiento y visibilidad en búsquedas técnicas.

Si necesitas ayuda para implementar Wazuh en AWS, integrar protección en tu clúster EKS o desarrollar aplicaciones seguras y escalables ponte en contacto con nuestro equipo de especialistas en ciberseguridad y desarrollo. Con Q2BSTUDIO puedes acelerar la adopción de soluciones de monitorización, automatización y análisis con la garantía de una implementación profesional y orientada a resultados. Conoce más sobre nuestros servicios de ciberseguridad y pentesting en estrategias y servicios de ciberseguridad.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.

Live Chat