Escaneos cloud
Cyberwatch ofrece un asistente dedicado que simplifica la configuración de los escaneos en infraestructuras cloud como Amazon Web Services, Google Cloud Platform, Microsoft 365, Microsoft Azure y Active Directory. En particular, los benchmarks CIS para estas plataformas están parcialmente soportados para el control de cumplimiento.
El objetivo de estos escaneos es garantizar que la configuración respete ciertas buenas prácticas, por ejemplo asegurándose de que no existan accesos públicos a recursos sensibles.
Requisitos previos
Cumplimiento AWS
Configurar accesos AWS mediante CloudFormation (recomendado)
Para crear accesos remotos a AWS, se recomienda utilizar el asistente de creación cloud y elegir el despliegue mediante CloudFormation. De hecho, usar CloudFormation para el despliegue permite:
- Desplegar los accesos más rápido y de manera más automática.
- Acceder con las mismas credenciales al conjunto o a una parte de las cuentas AWS de la organización.
- Gestionar automática y dinámicamente la incorporación de nuevas cuentas AWS.
Para realizar un despliegue por CloudFormation, es necesario:
- Elegir el tipo de despliegue: cuenta AWS o bien organización AWS.
- Si se selecciona organización AWS, elegir en qué parte de la organización desplegar los accesos. Se recomienda desplegar los accesos en toda la organización indicando la raíz (root).
- Si se van a configurar varios accesos sobre las mismas cuentas, es necesario indicar un sufijo, de lo contrario el despliegue de CloudFormation fallará.
- Hacer clic en el botón Lanzar CloudFormation, que redirige a la consola AWS. Es necesario conectarse en la cuenta de gestión o en una cuenta de administrador delegado para desplegar CloudFormation en el caso de un despliegue de tipo organización. Para un despliegue sobre una única cuenta, hay que conectarse en la cuenta sobre la que se debe realizar el despliegue.
- Una vez en AWS, hay que verificar la información que ya está pre-rellenada, luego marcar la casilla Sé que AWS CloudFormation puede crear recursos IAM con nombres personalizados, y finalmente, crear la pila CloudFormation.
- Una vez finalizada la ejecución de la pila CloudFormation en AWS, hay que ir a los resultados de la pila y copiar la salida que se encuentra allí en Cyberwatch.
- Por último, terminar de rellenar el formulario y guardar.
Nota
La clave de acceso presente en la salida de CloudFormation es temporal y será sobrescrita al guardar las credenciales en Cyberwatch.
Configuración manual de acceso AWS
Para acceder a su información AWS, Cyberwatch necesita una clave de acceso. Puede ser creada manualmente desde la consola AWS haciendo clic en el nombre de usuario en la parte superior derecha, luego «Mis credenciales de seguridad». Consulte también la documentación detallada de AWS para más información: https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys.
Se recomienda crear un usuario dedicado a Cyberwatch con los siguientes roles:
- SecurityAudit
- ViewOnlyAccess
Una vez creada la clave de acceso, deberá registrarla desde el menú «Credenciales registradas» de la barra lateral, y luego haciendo clic en el botón Añadir. En el formulario, seleccionar Amazon Web Services, luego introducir su ID de clave de acceso y su clave de acceso secreta.
Cumplimiento EKS
| Atributo | Permiso |
|---|---|
| Usuario AWS con la política | eks:ListClusters |
| Usuario AWS con la política | eks:DescribeCluster |
En cada clúster EKS, se debe definir una entrada de acceso IAM para el usuario, con la política AmazonEKSAdminViewPolicy.
Las reglas de cumplimiento CIS de la sección 3.2 requieren crear un ClusterRole RBAC Kubernetes que permita el acceso de lectura (get) a la ruta de API Kubernetes api/v1/nodes/{node}/proxy/configz. También se debe crear un ClusterRoleBinding para asociar este ClusterRole al usuario utilizado por Cyberwatch. Esta configuración debe realizarse en cada clúster EKS.
Cumplimiento Google Cloud Platform
| Atributo | Permiso |
|---|---|
| Rol | examinador de seguridad |
| Rol | lector |
| API API Keys | activada en cada proyecto |
| API BigQuery | activada en cada proyecto |
| API Cloud DNS | activada en cada proyecto |
| API Cloud Logging | activada en cada proyecto |
| API Cloud Monitoring | activada en cada proyecto |
| API Cloud Resource Manager | activada en cada proyecto |
| API Cloud SQL Admin | activada en cada proyecto |
| API Cloud Storage | activada en cada proyecto |
| API Compute Engine | activada en cada proyecto |
| API Essential Contacts | activada en cada proyecto |
| API Identity and Access Management (IAM) | activada en cada proyecto |
| API Service Usage | activada en cada proyecto |
Cumplimiento Azure
Configuración de una aplicación Entra con un script PowerShell (recomendado)
Para crear accesos remotos a Azure, se recomienda utilizar el asistente de creación cloud y elegir el despliegue mediante el script PowerShell. Este método permite:
- Desplegar los accesos más rápido y de manera automatizada.
- Acceder al conjunto o a una parte de las suscripciones del inquilino con un solo conjunto de credenciales.
- Gestionar dinámicamente la incorporación de nuevas suscripciones.
Para poder ejecutar el script, es necesario tener uno de los siguientes roles:
- sobre el alcance elegido en Azure: Propietario o Administrador de acceso de usuario
- sobre Microsoft 365: Administrador general, Administrador de roles privilegiados, Administrador de aplicaciones o Administrador de aplicaciones cloud
Para realizar un despliegue mediante el script PowerShell, es necesario:
- Elegir el alcance de la aplicación Entra: Grupo de administración raíz del inquilino (recomendado), Grupo de administración o Suscripción.
- Indicar el ID del alcance elegido.
- Opcional - Elegir el nombre de la aplicación Entra — el nombre por defecto es Cyberwatch.
- Hacer clic en el botón Obtener la línea de comando.
Desde el portal Azure, conectarse al inquilino, luego:
- Ejecutar la línea de comando obtenida en Cloud Shell en modo PowerShell.
- Una vez finalizada la ejecución del script, copiar el JSON devuelto en Cyberwatch.
- Terminar de rellenar el formulario y guardar.
Configuración manual de una aplicación Entra
Para configurar manualmente los accesos, cree una aplicación Entra y asígnele los siguientes permisos:
| Atributo | Permiso |
|---|---|
| Rol | colaborador de máquina virtual |
| Rol | colaborador de aplicación gestionada |
| Rol | lector |
| Rol | lector Key Vault |
| Rol | colaborador de cuentas de almacenamiento |
| Rol | colaborador de sitios web |
| Autorización de aplicación en Microsoft Graph | Policy.Read.All |
Cumplimiento AKS
La aplicación Entra creada en la sección Cumplimiento Azure ya dispone de los permisos necesarios. En caso de configuración manual, la aplicación Entra también debe disponer de los siguientes permisos:
| Atributo | Permiso |
|---|---|
| Rol | lector RBAC Azure Kubernetes Service |
Las reglas de cumplimiento CIS de la sección 3.2 requieren crear un ClusterRole RBAC Kubernetes que permita el acceso de lectura (get) a la ruta de API Kubernetes api/v1/nodes/{node}/proxy/configz. También se debe crear un ClusterRoleBinding para asociar este ClusterRole al usuario utilizado por Cyberwatch. Esta configuración debe realizarse en cada clúster AKS.
Las reglas de cumplimiento CIS de la sección 4.1 requieren crear un rol personalizado que contenga los siguientes permisos de tipo dataAction:
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/clusterroles/read
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/clusterrolebindings/read
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/roles/read
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/rolebindings/read
Cumplimiento Microsoft 365
La aplicación Entra creada en la Cumplimiento Azure ya dispone de los permisos necesarios. También es posible realizar el despliegue del script PowerShell desde el asistente de creación cloud para Microsoft 365 siguiendo el mismo procedimiento que el descrito en la sección Configuración de una aplicación Entra con un script PowerShell. En caso de configuración manual, la aplicación Entra también debe disponer de los siguientes permisos:
| Atributo | Permiso |
|---|---|
| Autorización de aplicación Microsoft Graph | AccessReview.Read.All |
| Autorización de aplicación Microsoft Graph | AuditLog.Read.All |
| Autorización de aplicación Microsoft Graph | DeviceManagementConfiguration.Read.All |
| Autorización de aplicación Microsoft Graph | DeviceManagementManagedDevices.Read.All |
| Autorización de aplicación Microsoft Graph | DeviceManagementServiceConfig.Read.All |
| Autorización de aplicación Microsoft Graph | Domain.Read.All |
| Autorización de aplicación Microsoft Graph | OnPremDirectorySynchronization.Read.All |
| Autorización de aplicación Microsoft Graph | OrgSettings-AppsAndServices.Read.All |
| Autorización de aplicación Microsoft Graph | OrgSettings-Forms.Read.All |
| Autorización de aplicación Microsoft Graph | Policy.Read.All |
| Autorización de aplicación Microsoft Graph | RoleManagement.Read.All |
| Autorización de aplicación Microsoft Graph | SharePointTenantSettings.Read.All |
| Autorización de aplicación Microsoft Graph | User.ReadBasic.All |
| Autorización de aplicación Office 365 Exchange Online | Exchange.ManageAsApp |
| Autorización de aplicación SharePoint | Sites.FullControl.All |
| Rol Microsoft Entra | lector general |
Algunas reglas de cumplimiento de Microsoft 365 de la parte de SharePoint requieren un conjunto de credenciales con autenticación por certificado.
Cumplimiento Active Directory
| Atributo | Permiso |
|---|---|
| Permiso | solo lectura |
Cumplimiento Oracle Cloud
Se recomienda crear un usuario dedicado a Cyberwatch, provisto de una clave API, y añadirlo a un grupo (denominado por ejemplo Cyberwatch) para el cual se haya definido, en el compartimento raíz, una estrategia con las siguientes instrucciones:
Allow group Cyberwatch to read all-resources in tenancy
Añadir un proyecto
- Ir al menú Gestión de activos > Cloud
- Hacer clic en Añadir
- Elegir una plataforma: AWS, GCP, Azure, Microsoft 365 o Active Directory
- Introducir una clave de acceso o identificador API directamente en el formulario o seleccionar un identificador ya registrado y luego hacer clic en Examinar
- Definir el nombre y luego seleccionar una de estas opciones o ambas, según su necesidad:
- Registrar el descubrimiento:
Se creará un descubrimiento, con el nombre elegido, que listará las máquinas descubiertas. Este descubrimiento estará disponible en la página de descubrimientos.
- Verificar la cumplimiento del proyecto:
Esta opción añadirá un activo cloud, con el nombre elegido, y mostrará el resultado del escaneo de cumplimiento.
- Hacer clic en “Guardar” para lanzar la configuración automática de los elementos seleccionados
Luego podrá consultar los resultados del análisis de cumplimiento desde el inventario Cumplimiento, o haciendo clic en el nombre del activo desde el menú Gestión de activos > Cloud, así como los resultados del descubrimiento en la página de Descubrimientos.