Modelo de Madurez en seguridad de AWS

CAF Category Fase 1: Quick Wins Fase 2: Fundacional Fase 3: Eficiente Fase 4: Optimizado
Gobierno de la seguridad Asignar los contactos de Seguridad Seleccione la(s) región(es) Identificar requerimientos de seguridad y regulatorios Plan de entrenamiento sobre seguridad en la nube Realizar un modelado de amenazas Conformar un equipo de Ingeniería del Caos (Resiliencia) Compartir la labor y responsabilidad de seguridad
Aseguramiento de la seguridad Automatizar alineamiento con mejores prácticas con AWS Security Hub Monitoreo de las configuraciones con AWS Config Crea tus reportes para cumplimiento (como PCI-DSS)
Gestión de identidades y accesos Autenticación Multi-Factor Evitar el uso de Root y auditarlo Análisis de accesos y roles con IAM Access Analyzer Repositorio Central de usuarios Políticas Organizacionales - SCPs Revisión de privilegios (Least Privilege) Estratégia de etiquetado Customer IAM: Seguridad de tus clientes Control de accesos según el contexto Pipeline de generación de Políticas de IAM
Detección de amenazas Detección de amenazas con Amazon GuardDuty y revisar sus hallazgos Auditoría de las llamadas a APIs con AWS CloudTrail Remediar los hallazgos de seguridad en AWS Trusted Advisor Alarma de Billing para detección de anomalías Investigar la mayoría de los hallazgos de Amazon GuardDuty Integración con SIEM/SOAR Análisis de flujos de red (VPC Flow Logs) Amazon Fraud Detector Integración de feeds de inteligencia adicionales
Gestión de vulnerabilidades Gestiona las vulnerabilidades en tu infraestructura y realiza pentesting Gestiona las vulnerabilidades en tus aplicaciones Security Champions en Desarrollo
Protección de la infraestructura Limitar Security Groups Gestión de instancias con Fleet Manager Segmentación de redes (VPCs) - Redes Públicas/Privadas Gestión multicuenta con AWS Control Tower Pipeline de generación de Imagenes Anti-Malware / EDR Control de tráfico saliente Uso de servicios Abstractos Estandarización de procesos con Service Catalog
Protección de Datos Amazon S3 Block Public Access Analizar la postura de seguridad de datos con Amazon Macie Cifrado de Datos - AWS KMS Backups Descubrimiento de datos sensibles con Amazon Macie Cifrado en tránsito
Seguridad de las aplicaciones AWS WAF con reglas gestionadas Involucre a los equipos de seguridad en el desarrollo Sin Secretos en Código - AWS Secrets Manager WAF con reglas custom Shield Advanced: Mitigación avanzada de DDoS DevSecOps Conformación un Red Team (Punto de vista del atacante)
Respuesta a incidentes Actuar ante los hallazgos de Amazon GuardDuty Definir playbooks de respuesta ante incidentes - Ejercicios TableTop Redundancia en múltiples zonas de disponibilidad Automatizar Playbooks críticos y los que se ejecutan más frecuentemente Automatizar configuraciones con corrección de desvíos Uso de infraestructura como código (CloudFormation, CDK) Automatizar la mayoría de los Playbooks Amazon Detective: Análisis de causa raíz Conformación un Blue Team (Respuesta ante incidentes) Automación del Disaster Recovery multi-región