Resumo relatório AWS

158 total = 127 fora de compliance e 31 em compliance

1° ponto de alteração => recursos de rede (Network) que estão fora do compliance e que estão classificados como Alto Risco, depois médio e dps baixo.

• Entre os de alto risco, foco nos "Security Groups", uma vez que todos estão fora do compliance. - Estão permissivos demais, não há restrições de acesso ou portas de acesso. Podem ser editados ou excluídos.

• Processo similar com os "Security groups defaults", porém no caso eles devem ser editados e não são passiveis de serem deletados

• os AWS Network ACLs ( colocar aqui oq é ACLs ) estão de maneira similar, todos fora do compliance e de alto risco. Alterar as portas de entradas para receberem apenas IPs confiáveis ou excluir caso n sejam utilizadas.

• no caso do AWS VPC, todas também estão fora do compliance, porém foram classificadas apenas como "médio risco". O VCP flow logs não está habilitade, e a conta está chegando no limite regional de VCP Private Gateways.

• Criar VPCs próprias e não usar as VPCs Default, é uma das boas praticas descritas no AWS

• AWS Network Interface, todos estão em compliance.

• No Storage, 21 dos 24 recursos estão fora do compliance, sendo todos esses classificados como risco médio. Eles são divididos em 7 tipos, S3, EBS Snapshot, EBS Volume, RDS Snapshot, RDS, RDS Cluster Snapshot. - No caso dos recursos a grande questão é a segurança deles, pois muitos necessitam da criação de uma criptografia e melhorar a segurança dos acessos, seja limitando acessos via HTTP e definindo para apenas HTTPS.

• Já o recurso "Compute", todos os 12 estão fora de compliance, sendo 11 de alto risco (do tipo EC2) e 1 de médio risco (AMI). Os EC2 tem alguns problemas de segurança, como o acesso por diversas portas, a não alteração dos VCPs default por VCPs proprios (como dito anteriormente), não usam o IAM instance roles e imdsv1 precisa ser atualizado para uma versão mais atual. Já no caso do AMI é apenas um problema de falta de criptografia.

• AWS IAM Policy, o Brain possui 2 IAM policy e ambas estão fora de compliance, pois não seguem o padrão de privilégios mínimos. É necessário adequar essas "policies" para o "least privilegie".

• AWS Regions, tem 17 AWS reagions no Brain, todos foram de compliance, sendo 16 de baixo risco e 1 de risco médio. Foi identificado que o AWS config não está ativado nas regiões, que o access analyzer também não está ativado, e que na região ap-northeast-3 está quase chegando no limite de instâncias EC2.

• CloudTrail, 1 recurso fora do compliance e de médio risco. O problema é que este não esta integrado com o CloudWatch, há também um alerta para a necessidade de se criptografar alguns dados, assim como a exclusão do "bucket".

• AWS Account, 1 recurso fora do compliance e de baixo risco. O cloudfront CDN não está sendo utilizado.

• AWS User, temos 22 users, todos fora do compliance e de risco médio. Existem diversos problemas, desde a não inclusão de um fator de autenticação múltiplo, a chaves que não são atualizada, users com acesso além do ideal e a necessidade de revisar as IAM policies. Dentre as diversas soluções, temos: Habilitar o MFA, Remover chaves não utilizadas e/ou não rotacionadas, desabilitar usuários com acesso multi-modo e remover usuários inativos, remover policies associadas a usuário e remover papel que dá acesso total ao ECR.

• AWS IAM, 1 recurso com 12 incidentes de médio risco. Este também não está com o MFA ativo e é necessário reforçar a política de senhas, que não é forte o suficiente, e deve ser atribuído um administrador.

• AWS KMS, 2 recursos, ambos fora de compliance e de risco médio. Foi identificado que não está habilitado a rotação para as cmks criadas por clientes. A rotação das chaves é necessária para ajudar na redução do potencial impacto de uma chave comprometida.

Concluindo a avaliação abrangente da conta da AWS da Algar brain VM, é evidente que existem aspectos em que a conformidade com as melhores práticas pode ser otimizada. A análise minuciosa dos diversos recursos revelou algumas áreas que requerem atenção imediata para garantir a segurança, eficiência e conformidade com as políticas estabelecidas. Recomenda-se uma revisão abrangente dos recursos apresentados nesse relatório. As sugestões delineadas ao longo deste relatório são fundamentais para fortalecer a postura de segurança, otimizar custos e alinhar as operações com as normas recomendadas. Diante disso, instamos a implementação diligente das sugestões fornecidas para garantir um ambiente AWS robusto e em total conformidade. Oportunidades para aprimoramento foram identificadas, e a execução das recomendações contribuirá significativamente para a eficiência operacional e a segurança da nossa infraestrutura na nuvem. Agradecemos pela colaboração e permanecemos à disposição para quaisquer esclarecimentos adicionais.