Evalúa tu postura de seguridad en la nube (CSPM) - AWS Security Hub

NOTA: La versión en Inglés cuenta con algunas actualizaciones que aún no se reflejaron en la versión en español.

Cloud Security Posture Manager

Si bien podría leer las líneas base y otras recomendaciones de CIS para AWS y verificar manualmente si está alineado con las mejores prácticas, eso sería un esfuerzo enorme. Se recomiendan las evaluaciones automatizadas de postura de seguridad y existen múltiples gestores de postura de seguridad en la nube (Cloud Security Posture Managers, CSPM) que pueden proporcionar eso.

AWS Security Hub también proporciona esa capacidad, con la característica llamada estándares de seguridad.

Como este es un control detective (alineado con la fase de identificación de NIST) es crucial que usted actúe sobre los hallazgos críticos/de alta gravedad. Asigne a alguien en el equipo de seguridad para analizar los incumplimientos más críticos y remediarlos.

Buena práctica: Automatizar controles de buenas prácticas y centralizar hallazgos de seguridad

Más información sobre AWS Security Hub: ¿ Cómo habilitar el servicio ?

El QuickWin relacionado a AWS Security Hub son los estándares de seguridad, habilitar el servicio con los estándares de seguridad identificará sus configuraciones débiles y le proporcionará las instrucciones de remediación. Solo cuesta $0.001 por chequeo, se puede habilitar con unos pocos clicks y tiene un período de prueba gratuita de 30 días que muestra el uso en el que incurriría si no existiera la prueba, para que pueda estimar el costo del próximo mes.

Opciones adicionales para realizar assessments de configuraciones en AWS

Puede utilizar la Self-Service Security Assessment Tool que integra controles de herramientas Open Source como Prowler , Scout Suite si desea realizar chequeos individuales en lugar de chequeos de compliance continuos con un servicio gestionado como AWS Security Hub.

También puede utilizar Cloud Custodian herramienta open source con soporte de múltiples proveedores de nube que permite enviar los hallazgos nativamente hacia AWS Security Hub.

Existen herramientas de terceros para el compliance continuo como Prowler Pro , Palo Alto Prisma , Trend Micro Cloud Conformity , Checkpoint Dome9 y CloudCheckr con las que pueden lograr resultados similares, frecuentemente utilizadas en ambientes multi-cloud.

AWS Trusted Advisor

Puede complementar la vista de postura de seguridad con el Servicio gratuito AWS Trusted Advisor , para identificar configuraciones erróneas y alertas de seguridad críticas en su cuenta.

Los clientes con soporte Business o Enterprise tienen acceso al conjunto completo de comprobaciones de AWS Trusted Advisor

Security Hub Mindmap

https://www.xmind.net/m/9MwPms

Workshops

Mitigación de riesgos

  • Las configuraciones incorrectas son la fuente de múltiples amenazas. AWS Security Hub puede identificar rápidamente qué recursos no están alineados con las mejores prácticas y ofrecer instrucciones para solucionarlos.

Guía para evaluar su grado de alineación

  • ¿AWS Security Hub o algún otro CSPM está habilitado en todas las cuentas con configuración central?
  • ¿Hay un equipo o una persona trabajando en la solución de los hallazgos de AWS Security Hub?
  • ¿La calificación (score) de seguridad se informa como parte de los KPI? ¿La tendencia está mejorando con el tiempo?
  • O ¿Está habilitado de manera inconsistente (como “solo en producción” o solo en las cuentas que tienen AWS Config activado)? Si no se usa un CSPM:
  • ¿Hay un equipo o una persona que revise regularmente los hallazgos de Trusted Advisor?
  • ¿Cuál es su nivel de soporte? (Los hallazgos en TA difieren según el nivel de soporte)

Precios

https://aws.amazon.com/es/security-hub/pricing
El servicio cuenta con un período de pruebas de 30 días (free trial)
El servicio cuenta con una página para verificar el uso actual y estimar el uso futuro.