Escaneos cloud
Cyberwatch ofrece un asistente dedicado que simplifica la configuración de los escaneos en infraestructuras cloud tales como Amazon Web Services, Google Cloud Platform, Microsoft 365, Microsoft Azure y Active Directory. En particular, los benchmarks CIS para estas plataformas están parcialmente soportados para el control de cumplimiento.
El objetivo de estos escaneos es garantizar que la configuración respete ciertas buenas prácticas, por ejemplo asegurando que no existan accesos públicos a recursos sensibles.
Requisitos previos
Conformidad AWS
Configurar accesos AWS mediante CloudFormation (recomendado)
Para crear accesos remotos a AWS, se recomienda usar el asistente de creación cloud y elegir el despliegue vía CloudFormation. En efecto, usar CloudFormation para el despliegue permite:
- Desplegar accesos más rápido y de forma más automática.
- Acceder con las mismas credenciales a toda o a parte de las cuentas AWS de la organización.
- Gestionar automáticamente y de forma dinámica la incorporación de nuevas cuentas AWS.
Para realizar un despliegue por CloudFormation, hay que:
- Elegir el tipo de despliegue: cuenta AWS o organización AWS.
- Si se ha seleccionado organización AWS, elegir sobre qué parte de la organización desplegar los accesos. Se recomienda desplegar los accesos en toda la organización indicando la raíz (root).
- Si se configurarán varios accesos en las mismas cuentas, es necesario indicar un sufijo; si no, el despliegue de CloudFormation fallará.
- Hacer clic en el botón Lanzar CloudFormation, que redirige a la consola AWS. Es necesario iniciar sesión en la cuenta de gestión o en una cuenta administradora delegada para desplegar CloudFormation en el caso de un despliegue de tipo organización. Para un despliegue en una sola cuenta, se debe iniciar sesión en la cuenta en la que debe realizarse el despliegue.
- Una vez en AWS, hay que verificar la información ya pre-rellenada, luego marcar la casilla Sé que AWS CloudFormation puede crear recursos IAM con nombres personalizados, y finalmente crear la pila CloudFormation.
- Una vez finalizada la ejecución de la pila CloudFormation en AWS, hay que ir a los resultados de la pila y copiar la salida que allí se encuentra en Cyberwatch.
- Por último, terminar de completar el formulario y guardar.
Nota
La clave de acceso presente en la salida de CloudFormation es temporal y se sobrescribirá al guardar las credenciales en Cyberwatch.
Configuración manual de accesos AWS
Para acceder a su información AWS, Cyberwatch necesita una clave de acceso. Esta puede crearse manualmente desde la consola AWS haciendo clic en el nombre de usuario en la esquina superior derecha y luego “Mis credenciales de seguridad”. Consulte también la documentación detallada de AWS para más información: https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys.
Se recomienda crear un usuario dedicado a Cyberwatch con los siguientes roles:
- SecurityAudit
- ViewOnlyAccess
Una vez creada la clave de acceso, deberá registrarla desde el menú “Credenciales registradas” de la barra lateral, luego haciendo clic en el botón Añadir. En el formulario, seleccione Amazon Web Services e introduzca su ID de clave de acceso y su clave de acceso secreta.
Conformidad EKS
| Atributo | Permiso |
|---|---|
| Usuario AWS con la política | eks:ListClusters |
| Usuario AWS con la política | eks:DescribeCluster |
En cada clúster EKS, debe definirse una entrada de acceso IAM para el usuario, con la estrategia AmazonEKSAdminViewPolicy.
Las reglas de cumplimiento CIS de la sección 3.2 requieren crear un ClusterRole RBAC de Kubernetes que permita acceso de lectura (get) a la ruta de la API de Kubernetes api/v1/nodes/{node}/proxy/configz. También debe crearse un ClusterRoleBinding para asociar este ClusterRole al usuario utilizado por Cyberwatch. Esta configuración debe realizarse en cada clúster EKS.
Conformidad Google Cloud Platform
| Atributo | Permiso |
|---|---|
| Rol | Examinador de seguridad |
| Rol | Lector |
| API Cloud Resource Manager | activada en cada proyecto |
Conformidad Azure
| Atributo | Permiso |
|---|---|
| Rol | Colaborador de máquina virtual |
| Rol | Colaborador de aplicación administrada |
| Rol | Lector |
| Rol | Lector de Key Vault |
| Rol | Colaborador de cuentas de almacenamiento |
| Rol | Colaborador de sitios web |
| Autorización de aplicación en Microsoft Graph | Policy.Read.All |
Conformidad AKS
| Atributo | Permiso |
|---|---|
| Rol | Lector RBAC Azure Kubernetes Service |
Las reglas de cumplimiento CIS de la sección 3.2 requieren crear un ClusterRole RBAC de Kubernetes que permita acceso de lectura (get) a la ruta de la API de Kubernetes api/v1/nodes/{node}/proxy/configz. También debe crearse un ClusterRoleBinding para asociar este ClusterRole al usuario utilizado por Cyberwatch. Esta configuración debe realizarse en cada clúster AKS.
Las reglas de cumplimiento CIS de la sección 4.1 requieren crear un rol personalizado que contenga los permisos del tipo dataAction siguientes:
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/clusterroles/read
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/clusterrolebindings/read
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/roles/read
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/rolebindings/read
Conformidad Microsoft 365
| Atributo | Permiso |
|---|---|
| Autorización de aplicación Microsoft Graph | AccessReview.Read.All |
| Autorización de aplicación Microsoft Graph | AuditLog.Read.All |
| Autorización de aplicación Microsoft Graph | DeviceManagementConfiguration.Read.All |
| Autorización de aplicación Microsoft Graph | DeviceManagementManagedDevices.Read.All |
| Autorización de aplicación Microsoft Graph | DeviceManagementServiceConfig.Read.All |
| Autorización de aplicación Microsoft Graph | Domain.Read.All |
| Autorización de aplicación Microsoft Graph | OnPremDirectorySynchronization.Read.All |
| Autorización de aplicación Microsoft Graph | OrgSettings-AppsAndServices.Read.All |
| Autorización de aplicación Microsoft Graph | OrgSettings-Forms.Read.All |
| Autorización de aplicación Microsoft Graph | Policy.Read.All |
| Autorización de aplicación Microsoft Graph | RoleManagement.Read.All |
| Autorización de aplicación Microsoft Graph | SharePointTenantSettings.Read.All |
| Autorización de aplicación Microsoft Graph | User.ReadBasic.All |
| Autorización de aplicación Office 365 Exchange Online | Exchange.ManageAsApp |
| Autorización de aplicación SharePoint | Sites.FullControl.All |
| Rol Microsoft Entra | Lector general |
Algunas reglas de cumplimiento de Microsoft 365 en la parte SharePoint requieren un conjunto de credenciales con autenticación por certificado.
Conformidad Active Directory
| Atributo | Permiso |
|---|---|
| Permiso | solo lectura |
Añadir un proyecto
- Ir al menú Gestión de activos > Cloud
- Hacer clic en Añadir
- Elegir una plataforma: AWS, GCP, Azure, Microsoft 365 o Active Directory
- Introducir una clave de acceso o identificador API directamente en el formulario o seleccionar una credencial ya registrada y luego hacer clic en Examinar
- Definir el nombre y seleccionar una o ambas opciones, según su necesidad:
- Registrar el descubrimiento:
Se creará un descubrimiento con el nombre elegido y que listará las máquinas descubiertas. Este descubrimiento estará disponible en la página de descubrimientos.
- Verificar el cumplimiento del proyecto:
Esta opción añadirá un activo cloud con el nombre elegido y mostrará el resultado del escaneo de cumplimiento.
- Hacer clic en “Guardar” para iniciar la configuración automática de los elementos seleccionados
A continuación podrá consultar los resultados del análisis de cumplimiento desde el inventario de Conformidad, o haciendo clic en el nombre del activo desde el menú Gestión de activos > Cloud, así como los resultados del Descubrimiento en la página de Descubrimientos.