Auditoria de seguridad y Hardening de AWS.
Zeus es una poderosa herramienta para las mejores prácticas de endurecimiento AWS(Amazon Web Services), EC2, S3, CloudTrail, CloudWatch y KMS. Comprueba la configuración de seguridad de acuerdo con los perfiles que el usuario crea y los cambia a la configuración recomendada según el origen de CIS AWS Benchmark a petición del usuario. Zeus tiene cuatro áreas de influencia: Gestión de identidad y acceso, Logging, Redes y Supervisión.
Gestión de identidad y acceso:
- Permite evitar el uso de la cuenta "root".
- Permite habilitar que la autenticación de múltiples factores (MFA) esté habilitada para todos los usuarios de IAM que tengan una contraseña de consola.
- Comprueba que las credenciales no utilizadas durante 90 días o más estén deshabilitadas.
- Comprueba que las claves de acceso se roten cada 90 días o menos.
- Comprueba que la política de contraseñas de IAM requiera una longitud mínima de 14 o superior y este formado por: una letra mayúscula, una letra minúscula, un símbolo y un numero.
- Comprueba que no exista ninguna clave de acceso a la cuenta root.
- Comprueba que MFA esté habilitado para la cuenta "root".
- Comprueba que las preguntas de seguridad estén registradas en la cuenta de AWS.
- Comprueba que las políticas de IAM estén asociadas solo a grupos o roles.
- Asegurar que la información de contacto de seguridad esté registrada.
- Comprueba que los roles de instancias de IAM se utilicen para acceder a los recursos de AWS a partir de instancias.
Logging.
- Comprueba que CloudTrail esté habilitado en todas las regiones.
- Comprueba que la validación del archivo de registro de CloudTrail esté habilitado.
- Comprueba que el iniciar sesión en CloudTrail no sea públicamente accesible.
- Comprueba que CloudTrail esté integrado con los registros de CloudWatch.
- Comprueba que la configuración de AWS esté habilitada en todas las regiones.
- Comprueba que el registro de acceso a S3 esté habilitado en el segmento CloudTrail S3.
- Comprueba que los registros de CloudTrail estén encriptados usando KMS CMK.
- Asegurar que la rotación para los CMK creados por el cliente esté habilitada.
Redes.
- Comprueba que ningún grupo de seguridad permita el ingreso de la 0.0.0.0/0 al puerto 22.
- Comprueba que ningún grupo de seguridad permita el ingreso de 0.0.0.0/0 al puerto 3389
- Comprueba que el registro de flujo de VPC (Amazon Virtual Private Cloud) esté habilitado en todas las VPC.
- Comprueba que el grupo de seguridad predeterminado de cada VPC restrinja todo el tráfico.
Supervisión.
- Comprueba que exista un filtro métrico de registro y una alarma para llamadas API no autorizadas.
- Comprueba que exista un filtro de métrica de registro y alarma para Management Consolesign-in sin MFA.
- Comprueba que exista un filtro métrico de registro y una alarma para el uso de la cuenta "root".
- Comprueba que exista un filtro métrico de registro y una alarma para los cambios de políticas de IAM.
- Comprueba que exista un filtro métrico de registro y una alarma para los cambios de configuración de CloudTrail.
- Comprueba que exista un filtro de métrica de registro y una alarma para las fallas de autenticación de AWS Management Console.
- Comprueba que exista un filtro de métrica de registro y alarma para deshabilitar o eliminar programados los CMK creados por el cliente.
- Comprueba que exista un filtro métrico de registro y una alarma para los cambios en la política de depósito S3.
- Comprueba que exista un filtro métrico de registro y una alarma para los cambios de configuración de configuración de AWS.
- Comprueba que exista un filtro de métrica de registro y una alarma para los cambios del grupo de seguridad.
- Comprueba que exista un filtro métrico de registro y una alarma para los cambios en las listas de control de NetworkAccess (NACL).
- Comprueba que exista un filtro de métrica de registro y una alarma para los cambios en las puertas de enlace de la red.
- Comprueba que exista un filtro métrico de registro y una alarma para los cambios en la tabla de enrutamiento.
- Comprueba que exista un filtro métrico de registro y una alarma para los cambios de VPC.
Más información y descarga de Zeus:
https://github.com/DenizParlak/Zeus
Via: www.gurudelainformatica.es
Auditoria de seguridad y Hardening de AWS.
Reviewed by Anónimo
on
5:01
Rating: