Zeus es una poderosa herramienta para las mejores prácticas de endurecimiento AWS(Amazon Web Services), EC2, S3, CloudTrail, CloudWatch y KMS. Comprueba la configuración de seguridad de acuerdo con los perfiles que el usuario crea y los cambia a la configuración recomendada según el origen de CIS AWS Benchmark a petición del usuario. Zeus tiene cuatro áreas de influencia: Gestión de identidad y acceso, Logging, Redes y Supervisión.

Gestión de identidad y acceso 

  • Permite evitar el uso de la cuenta «root».
  • Permite habilitar que la autenticación de múltiples factores (MFA) esté habilitada para todos los usuarios de IAM que tengan una contraseña de consola.
  • Comprueba que las credenciales no utilizadas durante 90 días o más estén deshabilitadas.
  • Comprueba que las claves de acceso se roten cada 90 días o menos.
  • Comprueba que la política de contraseñas de IAM requiera una longitud mínima de 14 o superior y este formado por: una letra mayúscula, una letra minúscula, un símbolo y un numero.
  • Comprueba que no exista ninguna clave de acceso a la cuenta root.
  • Comprueba que MFA esté habilitado para la cuenta «root».
  • Comprueba que las preguntas de seguridad estén registradas en la cuenta de AWS.
  • Comprueba que las políticas de IAM estén asociadas solo a grupos o roles.
  • Asegurar que la información de contacto de seguridad esté registrada.
  • Comprueba que los roles de instancias de IAM se utilicen para acceder a los recursos de AWS a partir de instancias.

Logging

  • Comprueba que CloudTrail esté habilitado en todas las regiones.
  • Comprueba que la validación del archivo de registro de CloudTrail esté habilitado.
  • Comprueba que  el iniciar sesión en CloudTrail no sea públicamente accesible.
  • Comprueba que CloudTrail esté integrado con los registros de CloudWatch.
  • Comprueba que la configuración de AWS esté habilitada en todas las regiones.
  • Comprueba que el registro de acceso a S3 esté habilitado en el segmento CloudTrail S3.
  • Comprueba que los registros de CloudTrail estén encriptados usando KMS CMK.
  • Asegurar que la rotación para los CMK creados por el cliente esté habilitada.

Redes

  • Comprueba que ningún grupo de seguridad permita el ingreso de la 0.0.0.0/0 al puerto 22.
  • Comprueba que ningún grupo de seguridad permita el ingreso de 0.0.0.0/0 al puerto 3389
  • Comprueba que el registro de flujo de VPC (Amazon Virtual Private Cloud) esté habilitado en todas las VPC.
  • Comprueba que el grupo de seguridad predeterminado de cada VPC restrinja todo el tráfico.

Supervisión

  • Comprueba que exista un filtro métrico de registro y una alarma para llamadas API no autorizadas.
  • Comprueba que exista un filtro de métrica de registro y alarma para Management Consolesign-in sin MFA.
  • Comprueba que exista un filtro métrico de registro y una alarma para el uso de la cuenta «root».
  • Comprueba que exista un filtro métrico de registro y una alarma para los cambios de políticas de IAM.
  • Comprueba que exista un filtro métrico de registro y una alarma para los cambios de configuración de CloudTrail.
  • Comprueba que exista un filtro de métrica de registro y una alarma para las fallas de autenticación de AWS Management Console.
  • Comprueba que exista un filtro de métrica de registro y alarma para deshabilitar o eliminar programados los CMK creados por el cliente.
  • Comprueba que exista un filtro métrico de registro y una alarma para los cambios en la política de depósito S3.
  • Comprueba que exista un filtro métrico de registro y una alarma para los cambios de configuración de configuración de AWS.
  • Comprueba que exista un filtro de métrica de registro y una alarma para los cambios del grupo de seguridad.
  • Comprueba que exista un filtro métrico de registro y una alarma para los cambios en las listas de control de NetworkAccess (NACL).
  • Comprueba que exista un filtro de métrica de registro y una alarma para los cambios en las puertas de enlace de la red.
  • Comprueba que exista un filtro métrico de registro y una alarma para los cambios en la tabla de enrutamiento.
  • Comprueba que exista un filtro métrico de registro y una alarma para los cambios de VPC.

Fuente: Seguinfo.com.ar

Compartir