Nuestro módulo de Seguridad de Apps te permite conectar una variedad de sistemas para monitorearlos y garantizar que todos cuenten con las configuraciones de seguridad adecuadas para proteger tu información, e incluso para robustecer el cumplimiento de tu programa de seguridad ✅⭐.
Para ir a este módulo solo debes ir a “Seguridad de apps” en la barra lateral izquierda dentro de nuestra plataforma:
Esto te mostrará las herramientas que tenemos disponibles para su conexión. Y solo debes pasar el cursor sobre la que desees conectar:
💡 Recuerda que sólo el administrador de la aplicación puede conectarse, si una persona distinta al administrador se conecta, la herramienta te indicará que estamos conectados, pero sin escanear nada.
¿Que es un rol?
En AWS, un rol es como un pase temporal que le das a alguien (o a un servicio) para que haga solo lo que necesita y nada más. Y desde el lado de ciberseguridad, esto es clave porque evita que las credenciales sensibles queden expuestas.
En lugar de compartir una contraseña o clave de acceso que podría filtrarse, le das a una aplicación o servicio un permiso temporal y controlado para hacer su trabajo, reduciendo el riesgo de accesos no autorizados 👀.
¿Porque un rol es más seguro que una cuenta de usuario?
Un rol en AWS es más seguro que una API key o una cuenta de usuario porque no usa credenciales fijas, sino que genera credenciales temporales que se rotan automáticamente, reduciendo el riesgo en caso de filtración. Además, los roles siguen el principio de mínimos privilegios, otorgando solo los permisos necesarios y por el tiempo justo.
A diferencia de una API key, que puede ser expuesta en código o repositorios, un rol se usa dentro de AWS sin necesidad de copiar credenciales. También permite aplicar reglas de seguridad, como restricciones por IP, MFA o acceso solo desde nuestra infraestructura, asegurando que nadie más pueda usarlo, incluso si intentaran hacerlo desde otro entorno.
Paso a paso para conectar una cuenta en la plataforma
La conexión de AWS con nuestra plataforma es tan fácil como coser y cantar, así que a continuación vamos a revisar el paso a paso de cómo llevarla a cabo (esta conexión la debe hacer alguien con los permisos necesarios).
1. Ve a integraciones dentro de la plataforma:
2. Selecciona la herramienta AWS en el apartado "Servicios en la nube":
3. Debes seleccionar la opción de “Obtener rol”. Esto te redireccionará a la plataforma de AWS:
4. Ya dentro de la página de AWS, lo único que tienes que hacer es ir hasta abajo y presionar “Next”:
5. Puedes verificar los permisos que estás entregando, el cual es solo de “SecurityAudit”. Una vez confirmados aprieta “Next”:
6. De manera opcional puedes cambiar el nombre del rol. Además, puedes ver las configuraciones de seguridad de este rol (como se ve muestra en la siguiente imagen) y una vez verificada la información, al final de estas vistas se puede seleccionar la opción para crear este rol:
7. Una vez creado, debes buscar el rol que creaste en el paso anterior:
8. Debes copiar el dato llamado "ARN" y volver a la plataforma Hackmetrix para dejarlo en el campo correspondiente, es decir “Rol ARN”:
9. Por último, puedes ingresar algún nombre que te permita identificar la cuenta fácilmente:
Conecta todas tus cuentas de AWS
Si tu organización cuenta con más de una cuenta en AWS, no tienes que priorizar cuál cuenta conectar, ¡ahora puedes conectar todas las que tu quieras en la plataforma Hackmetrix! Solo debes presionar los 3 puntos al lado de la herramienta AWS en el módulo de Seguridad de Apps, y seleccionar “conectar nueva cuenta”:
Para conectar nuevas cuentas se siguen los mismos pasos explicados anteriormente en este artículo 😉.
¿Qué se monitorea de la herramienta?
Al conectar esta herramienta podrás monitorear que:
El sistema solo cuenta con los usuarios administradores indispensables: Este test evalúa si el sistema solo cuenta con los usuarios administradores necesarios (2) y no hay usuarios innecesarios con privilegios de administrador.
💡 Si para tus operaciones es necesario tener más de 2 usuarios administradores, puedes desactivar el test indicando la debida justificación.
El WAF está habilitado: Este test determina si el Web Application Firewall (WAF) está activado para proteger tu aplicación web contra ataques comunes.
La aplicación permite configurar MFA: Este test verifica si la aplicación permite la configuración de la Autenticación de Múltiples Factores (MFA) como una capa adicional de seguridad para los usuarios.
La contraseña contiene al menos un carácter especial: Este test verifica si las políticas de contraseñas requieren al menos un carácter especial, aumentando así la complejidad y seguridad de las contraseñas.
La contraseña contiene al menos un número: Este test verifica si las políticas de contraseñas requieren al menos un carácter numérico, aumentando así la complejidad y seguridad de las contraseñas.
La contraseña contiene al menos una letra mayúscula: Este test verifica si las políticas de contraseñas requieren al menos una letra mayúscula, aumentando así la complejidad y seguridad de las contraseñas.
La contraseña contiene al menos una letra minúscula: Este test verifica si las políticas de contraseñas requieren al menos una letra minúscula, aumentando así la complejidad y seguridad de las contraseñas.
La cuenta no se usó en los últimos 3 meses: Este test verifica si las cuentas de AWS han estado inactivas durante los últimos 3 meses.
💡 Mantener cuentas inactivas puede ser un riesgo de seguridad, ya que cuentas olvidadas pueden ser un blanco fácil para atacantes.
La cuenta que no se usó en los últimos 3 meses es eliminada o deshabilitada: Este test verifica si las cuentas de usuario que han estado sin actividad durante los últimos 3 meses son eliminadas o deshabilitadas, lo cual es crucial para minimizar riesgos de seguridad.
La duración máxima de la contraseña es de 90 días: Este test verifica que la política de contraseñas establezca un límite máximo de 90 días para la duración de las contraseñas, fomentando cambios regulares para mantener la seguridad.
Longitud mínima de contraseña de 8 caracteres: Este test verifica que las contraseñas en AWS tengan al menos 8 caracteres, una medida básica para asegurar que las contraseñas sean lo suficientemente complejas y difíciles de adivinar.
Los sistemas guardan los logs de accesos que contenga al menos, el usuario, la hora, la fecha y la IP: Este test verifica si los sistemas registran logs de acceso incluyendo información esencial: usuario, hora, fecha y dirección IP.
💡 Esto es clave para auditorías y detección de amenazas.
Los sistemas guardan los logs de eventos: Este test verifica si tus sistemas están configurados para guardar registros de todo lo que sucede.
💡 Los registros o "logs" son esenciales porque te permiten ver qué acciones se han realizado en tus sistemas, ayudando a identificar y reaccionar frente a actividades sospechosas o ataques.
Los usuarios cuentan solamente con una clave de acceso: Este test verifica que los usuarios usan únicamente una contraseña para acceder a sus cuentas.
MFA activado en todas las cuentas: Este test verifica si la Autenticación de Múltiples Factores (MFA) está activada en todas las cuentas de usuario.
No repetición de las últimas 4 contraseñas en AWS: Este test verifica que las políticas de contraseñas en AWS prohíban la reutilización de las últimas cuatro contraseñas, fomentando así el uso de contraseñas nuevas y más seguras.
No se da acceso a la cuenta root: Este test verifica que la cuenta root, la cual tiene control total sobre todos los recursos y servicios de AWS, permanezca sin usar, siguiendo las recomendaciones de seguridad para minimizar el riesgo de abuso de privilegios.
Renovación de claves de encriptación cada 180 días: Este test verifica que las claves de encriptación usadas para proteger tus datos en AWS sean renovadas cada 180 días, ayudando a mantener una seguridad robusta mediante la actualización regular de las claves.
Se tienen configuradas las copias de seguridad: Este test verifica si se han implementado adecuadamente las copias de seguridad para proteger los datos críticos y asegurar la recuperación en caso de incidentes o fallos.
Uso de cuenta root en AWS: Este test revisa si estás utilizando la cuenta root de AWS, la cual tiene acceso total a tu cuenta.
💡 No usar esta cuenta para tareas cotidianas es una práctica de seguridad fundamental, ya que su mal uso podría exponerte a grandes riesgos. Todos los recursos y servicios de AWS, cualquier actividad malintencionada o incluso un error accidental bajo esta cuenta puede tener consecuencias devastadoras.
Políticas de IAM en roles de instancias EC2: Este test verifica que los roles de IAM asociados con las instancias EC2 de nivel de aplicación tengan políticas de IAM adjuntas.
💡 Es crucial asegurarse de que cada instancia EC2 de nivel de aplicación tenga las políticas de IAM necesarias para garantizar un acceso controlado y seguro a los recursos. La falta de políticas adjuntas puede llevar a configuraciones de seguridad inadecuadas y a posibles brechas de seguridad.
Configuración de security groups por defecto: Este test verifica que los security groups por defecto de las instancias EC2 estén configurados para bloquear todo el tráfico de entrada y salida.
💡 Configurar los security groups para bloquear todo el tráfico por defecto es una práctica esencial de seguridad, ya que minimiza la superficie de ataque y asegura que solo el tráfico explícitamente permitido pueda acceder a los recursos. Esto ayuda a prevenir accesos no autorizados y posibles vulnerabilidades en el sistema.
Cifrado por defecto en volúmenes EBS: Este test verifica que el cifrado está activado por defecto para los volúmenes EBS (Elastic Block Store).
💡 Activar el cifrado por defecto para los volúmenes EBS es una práctica de seguridad esencial que ayuda a proteger los datos en reposo. El cifrado asegura que los datos almacenados en los volúmenes EBS estén protegidos contra accesos no autorizados y garantiza la confidencialidad de la información sensible.
Restricción de acceso a snapshots de EBS: Este test verifica que el acceso a las snapshots de EBS está restringido y que no sean públicas.
💡 Restringir el acceso a las snapshots de EBS es crucial para proteger los datos respaldados y prevenir la exposición no autorizada de información sensible. Las snapshots de EBS pueden contener datos críticos, y su acceso no controlado puede llevar a brechas de seguridad significativas.
Monitoreo detallado en instancias EC2: Este test verifica que las instancias EC2 tengan habilitada la función de monitoreo detallado.
💡 Habilitar el monitoreo detallado en las instancias EC2 es fundamental para obtener métricas más precisas y frecuentes sobre el rendimiento y la utilización de los recursos. El monitoreo detallado permite una mejor visibilidad y gestión proactiva del estado de las instancias, ayudando a identificar y resolver problemas potenciales antes de que afecten el funcionamiento del sistema.
Uso de grupos de seguridad personalizados: Este test verifica que no se utilicen los grupos de seguridad por defecto para las instancias EC2 lanzadas mediante el asistente de lanzamiento (Launch Wizard).
💡 El uso de grupos de seguridad personalizados en lugar de los que son por defecto, es una práctica esencial de seguridad. Los grupos de seguridad por defecto pueden tener configuraciones genéricas que no son óptimas para la seguridad.
Cifrado adecuado de imágenes en ECR: Este test verifica que las imágenes almacenadas en Amazon Elastic Container Registry (ECR) estén cifradas con un nivel adecuado.
💡 El cifrado de imágenes en ECR es fundamental para proteger los datos sensibles que podrían estar contenidos en las imágenes de contenedores. Utilizar un cifrado adecuado garantiza que las imágenes están protegidas contra accesos no autorizados y cumple con las mejores prácticas de seguridad y normativas de protección de datos.
Uso de claves KMS personalizadas: Este test verifica que los servicios de AWS no estén utilizando la clave KMS (Key Management Service) predeterminada, sino que empleen claves KMS personalizadas.
💡 El uso de claves KMS personalizadas permite un control más granular sobre la gestión y acceso a las claves, mejorando la seguridad y cumpliendo con los requisitos de conformidad específicos.
Políticas de claves KMS con privilegios mínimos: Este test valida que la política de claves KMS (Key Management Service) esté configurada para garantizar el acceso con privilegios mínimos.
💡 Configurar las políticas de claves KMS con privilegios mínimos es crucial para limitar el acceso solo a aquellos usuarios y roles que necesiten usar las claves, reduciendo el riesgo de accesos no autorizados y mejorando la seguridad general del entorno.
Autenticación IAM en bases de datos RDS: Este test garantiza que la autenticación de la base de datos de IAM esté habilitada para las instancias de bases de datos RDS (Relational Database Service).
💡 Habilitar la autenticación de la base de datos de IAM permite gestionar el acceso a las bases de datos utilizando las credenciales de IAM, proporcionando un control centralizado y seguro.
Protección contra CVEs en instancias RDS MySQL: Este test garantiza que las instancias RDS MySQL no sean vulnerables a CVEs (Common Vulnerabilities and Exposures) específicos conocidos.
💡 Asegurarse de que las instancias RDS MySQL estén protegidas contra vulnerabilidades de CVE es crucial para mantener la seguridad y la integridad de las bases de datos. Las vulnerabilidades de CVE pueden ser explotadas por atacantes para obtener acceso no autorizado, ejecutar código malicioso, o comprometer los datos. Mantener las instancias actualizadas y aplicar parches de seguridad es fundamental para mitigar estos riesgos.
Habilitación de copias de seguridad automatizadas en RDS: Este test garantiza que las copias de seguridad automatizadas estén habilitadas para las instancias RDS (Relational Database Service).
💡 Habilitar las copias de seguridad automatizadas es crucial para asegurar que los datos almacenados en las bases de datos RDS puedan ser recuperados en caso de pérdida de datos, fallos de hardware o incidentes de seguridad. Las copias de seguridad automatizadas permiten la restauración de la base de datos a cualquier punto en el tiempo dentro del período de retención especificado, proporcionando una capa adicional de protección y recuperación.
Cifrado de instantáneas RDS: Este test garantiza que el cifrado está habilitado para las instantáneas RDS (Relational Database Service) para asegurar el cifrado de los datos en reposo.
💡 Habilitar el cifrado para las instantáneas de RDS es crucial para proteger los datos sensibles contra accesos no autorizados y cumplir con las normativas de seguridad. El cifrado de datos en reposo asegura que los datos almacenados en las instantáneas están protegidos, incluso si las instantáneas son comprometidas.
Bloqueo de acceso público en Buckets S3: Este test garantiza que el bloqueo de acceso público esté habilitado en todos los buckets S3 o a nivel de cuenta de AWS.
💡 Habilitar el bloqueo de acceso público es crucial para proteger los datos almacenados en S3 contra accesos no autorizados. Esta configuración ayuda a asegurar que ningún objeto en los buckets S3 sea accesible públicamente a menos que se especifique explícitamente, cumpliendo con las mejores prácticas de seguridad y normativas de protección de datos.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.