Es importante hacer seguimiento de los cambios en configuraciones en sus activos. En AWS cuenta con un servicio llamado AWS Config que monitorea los cambios a las configuraciones, permite remediar configuraciones indeseables, o restaurar configuraciones anteriores corrigiendo desvíos en las configuraciones.
Reglas que verifican la existencia de puertos SSH o RDP abiertos (accesibles desde cualquier IP) así como otras reglas nativas ayudan significativamente a reforzar la postura de seguridad.
Puede ejecutar acciones de remediación que están basadas en AWS Systems Manager Automation Documents e identificar el momento en que un recurso deja de estar conforme a las políticas (non compliant) y enviar notificaciones.
https://www.xmind.net/m/ACQQq3/