1. IAM: raices y MFA obligatorio
Usuarios con acceso raiz sin MFA, claves de acceso antiguas nunca rotadas, usuarios sin actividad en los ultimos 90 dias. Estos tres hallazgos aparecen en casi la mitad de las cuentas que auditamos.
- MFA habilitado en la cuenta raiz
- Claves de acceso rotadas cada 90 dias
- Usuarios desactivados tras la baja de empleados
2. S3: buckets que no deberian ser publicos
Un bucket S3 publico con datos de clientes es la brecha mas simple y mas costosa. Revisamos ACL, politicas de bucket y acceso por bloques publicos. Tambien verificamos encriptacion en reposo y en transito.
3. CloudTrail: si no hay logs, no hay investigacion
CloudTrail debe estar habilitado en todas las regiones, con logs inmutables y alertas sobre eventos de alto riesgo. Sin logs, una brecha es invisible.
4. Security Groups: cualquiera en cualquier puerto
Security Groups que permiten 0.0.0.0/0 en puertos sensibles son una invitacion. Auditamos que cada regla tenga justificacion documentada.
5. EC2: parches y metadata expuesta
Instancias sin parches recientes o con IMDSv1 habilitado. La metadata expuesta permite escalar privilegios de EC2 a IAM.
6. RDS: backups encriptados
Base de datos sin encriptacion, sin backups automatizados, o expuesta publicamente.
Los 6 checks restantes
- GuardDuty: habilitado con alertas a canal operativo
- AWS Config: reglas para detectar recursos no conformes
- KMS: claves rotadas y acceso granular
- Lambda: funciones sin permisos excesivos
- VPC Flow Logs: trafico de red registrado
- Secrets Manager: secretos migrados a gestion centralizada
Como actuar sobre los hallazgos
Los bloqueantes se cierran en 24 horas. Los riesgos mayores en una semana. Las recomendaciones en un mes. Repetimos la auditoria trimestralmente.