É importante acompanhar as alterações de configuração em seus recursos. A AWS tem um serviço chamado AWS Config que monitora as alterações de configuração, permite corrigir configurações indesejáveis ou restaurar configurações anteriores corrigindo alterações nas configurações.
As regras que verificam a existência de portas abertas SSH ou RDP (acessíveis a partir de qualquer IP), bem como outras regras nativas ajudam significativamente a fortalecer a postura de segurança.
Você pode executar ações de correção baseadas em documentos de automação do AWS Systems Manager, identificar quando um recurso deixa de estar conforme as políticas definídas (não compliant) e enviar notificações.
https://www.xmind.net/m/ACQQq3/