FORTICWP Documento Descriptivo v1.0

ÍNDICE DEL CONTENIDO
1 INTRODUCCIÓN 6
1.1 DESAFÍOS CREADOS POR LA NUBE PÚBLICA 6

1.2 NUBES PÚBLICAS SOPORTADAS 7
1.3 ARQUITECTURA 7
2 FORTICWP: CLOUD WORKLOAD PROTECTION 8
2.1 VISIBILIDAD CENTRALIZADA SOBRE LAS NUBES PÚBLICAS 8

2.1.1 Dashboard 8
2.1.2 Alertas: 9
2.1.3 Recursos desplegados: 10
2.1.3.1 ‘Table View’: 10
2.1.3.2 ‘Map View’: 14
2.1.3.3 ‘Asset View’: 15
2.1.3.4 ‘Attack Surface View’ 16
2.1.4 Documentos almacenados: 17
2.1.5 Monitorización y Trazabilidad de actividades realizadas por los usuarios: 18
2.2 ASISTENTE PARA MAXIMIZAR LA PROTECCIÓN DE LOS DATOS Y LA INFRAESTRUCTURA DESPLEGADOS EN LA NUBE
PÚBLICA 19
2.2.1 Políticas predefinidas para el análisis de riesgo en entornos de AWS (un total de 140
políticas): 19
2.2.2 Políticas predefinidas para el análisis de riesgo en entornos de AZURE (un total de 66
políticas): 21
2.2.3 Políticas predefinidas para el análisis de riesgo en entornos de GOOGLE CLOUD (un total de
52 políticas): 22
2.2.4 Políticas customizadas para el análisis de riesgo 23
2.2.5 Políticas de seguridad de red 23
2.3 DETECCIÓN Y RESPUESTA FRENTE AMENAZAS EN LOS DATOS ALOJADOS EN LA NUBE PÚBLICA 24
2.3.1 Ransomware y Malware 24
2.3.2 Análisis de los Flujos de Tráfico 25
2.4 DLP (DATA LEAK PREVENTION) 26
2.4.1 Políticas predefinidas para DLP 26
2.4.2 Políticas customizadas de DLP 27
2.4.2.1 La definición de un patrón de Datos 27
2.4.2.2 Definición de una política customizada de DLP 27
2.5 COMPLIANCE DE BEST PRACTICES DE SEGURIDAD EN LA NUBE PÚBLICA 28
2.5.1 Políticas de Compliance SOX-COBIT: 28
2.5.2 Políticas de Compliance PCI-DSS: 28
2.5.3 Políticas de Compliance HIPAA: 29
2
2.5.4 Políticas de Compliance GDPR: 29
2.5.5 Políticas de Compliance NIST SP 800-53 rev4 : 30
2.5.6 Políticas de Compliance NIST SP 800-171: 32
2.5.7 Políticas de Compliance ISO 27001: 33
2.6 REPORTING 34
2.6.1 C-Level 34
2.6.2 Compliance 36
2.6.3 Alertas y Actividad 37
2.7 LICENCIAMIENTO (MÓDULO WORKLOAD PROTECTION): 37
2.7.1 Número de hosts/instancias: 37
2.7.2 Volumen de datos a securizar: 37
2.7.2.1 Basic: 37
2.7.2.2 Advanced 37
3 FORTICWP: CLOUD CONTAINER PROTECTION 38
3.1 VISIBILIDAD CENTRALIZADA SOBRE LOS ENTORNOS DE CONTENEDORES DE LAS NUBES PÚBLICAS 38
3.1.1 Cloud Container Protection Dashboard 38
3.1.2 Container Visibility 39
3.2 ANÁLISIS DEL RIESGO Y VULNERABILIDADES EN LOS REGISTROS/REPOSITORIOS DE CONTENEDORES 43
3.3 AUTOMATIZACIÓN DE LA SEGURIDAD E INTEGRACIÓN CON HERRAMIENTAS DE CI/CD (JENKINS) 45
3.4 SIMPLIFICACIÓN DEL COMPLIANCE DE BEST PRACTICES DE SEGURIDAD EN ENTORNOS DE CONTENEDORES DE LA
NUBE PÚBLICA 45
3.5 COMPATIBILIDAD: AMPLIA INTEGRACIÓN CON LAS PRINCIPALES PLATAFORMAS DE MICROSERVICIOS 46
3.6 LICENCIAMIENTO (MÓDULO CONTAINER PROTECTION): 47
3.6.1 Número de container hosts/work nodes: 47
3.6.2 Volumen de datos a securizar: 47
3.6.2.1 Basic: 47
3.6.2.2 Advanced 47
3
ÍNDICE DE LAS FIGURAS
FIGURA 1 NUBES PÚBLICAS SOPORTADAS 7
FIGURA 2 FORTICWP: ACCESO A LOS MÓDULOS 'WORKLOAD PROTECTION'/'CONTAINER PROTECTION' 7
FIGURA 3 FORTICWP WORKLOAD PROTECTION: DASHBOARD (1) 8
FIGURA 4 FORTICWP WORKLOAD PROTECTION: DASHBOARD (2) 8
FIGURA 5 FORTICWP WORKLOAD PROTECTION: PANEL DE ALERTAS (1) 9
FIGURA 6 FORTICWP WORKLOAD PROTECTION: PANEL DE ALERTAS (2) 10
FIGURA 7 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'TABLE VIEW' (1) 11
FIGURA 15 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'MAP VIEW' (1) 14
FIGURA 16 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'MAP VIEW' (2) 14
FIGURA 17 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'ASSET VIEW' (1) 15
FIGURA 18 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'ASSET VIEW' (2) 15
FIGURA 19 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'ASSET VIEW'/CVES 16
FIGURA 20 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'ATTACK SURFACE VIEW'
16
FIGURA 21FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE DOCUMENTOS ALOJADOS EN LA NUBE PÚBLICA 17
FIGURA 22 FORTICWP WORKLOAD PROTECTION: PANEL DE MONITORIZACIÓN Y TRAZABILIDAD DE ACTIVIDADES DE USUARIO
18
FIGURA 23 FORTICWP WORKLOAD PROTECTION: PANEL DE MONITORIZACIÓN Y TRAZABILIDAD DE ACTIVIDADES DE USUARIO
(TIPOS DE EVENTOS) 18
FIGURA 24 FORTICWP WORKLOAD PROTECTION: POLÍTICAS PREDEFINIDAS DE ANÁLISIS DE RIESGO PARA AWS 21
FIGURA 25 FORTICWP WORKLOAD PROTECTION: POLÍTICAS PREDEFINIDAS DE ANÁLISIS DE RIESGO PARA AZURE 22
FIGURA 26 FORTICWP WORKLOAD PROTECTION: POLÍTICAS PREDEFINIDAS DE ANÁLISIS DE RIESGO PARA GOOGLE CLOUD
22
FIGURA 27 FORTICWP WORKLOAD PROTECTION: POLÍTICAS PREDEFINIDAS DE SEGURIDAD DE RED 23
FIGURA 28 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE 'DATA ANALYSIS' PARA EL ESCANEO AUTOMÁTICO DE MALWARE
24
FIGURA 29 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE 'DATA ANALYSIS' PARA EL ESCANEO AUTOMÁTICO DE FICHEROS
ENCRIPTADOS POR RANSOMWARE 24
FIGURA 30 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DISPONIBLES DE ‘THREAT PROTECTION’ 24
FIGURA 31 FORTICWP WORKLOAD PROTECTION: DETECCIÓN DE UN FICHERO RANSOMWARE 25
FIGURA 32 FORTICWP WORKLOAD PROTECTION: ANÁLISIS DE LOS FLUJOS DE TRÁFICO 25
FIGURA 33 FORTICWP WORKLOAD PROTECTION: POLÍTICAS PREDEFINIDAS PARA COMBATIR LA FUGA DE DATOS 26
FIGURA 34 FORTICWP WORKLOAD PROTECTION: INFORMACIÓN MOSTRADA SOBRE LA DETECCIÓN DE FUGA DE DATOS DE UN
FICHERO 26
FIGURA 35 FORTICWP WORKLOAD PROTECTION: DEFINICIÓN DE UN 'DATA PATTERN' PARA DEFINIR POLÍTICAS CUSTOMIZADAS
DE DLP 27
FIGURA 36 FORTICWP WORKLOAD PROTECTION: DEFINICIÓN DE UNA POLÍTICA CUSTOMIZADA DE DLP 27
FIGURA 37 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE SOX-COBIT 28
FIGURA 38 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE PCI-DSS 28
FIGURA 39 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE HIPAA 29
FIGURA 40 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE GDPR 29
FIGURA 41 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE NIST SP 800-53 REV4 (1) 30
4
FIGURA 44 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE NIST SP 800-171 (1) 32
FIGURA 45 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE NIST SP 800-171 (2) 32
FIGURA 46 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE ISO 27001 33
FIGURA 47 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (OVERVIEW) 34
FIGURA 48 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (ALERTAS) 34
FIGURA 49 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (RECURSOS) 35
FIGURA 50 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (ALMACENAMIENTO) 35
FIGURA 51 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (TOP CHARTS) 35
FIGURA 52 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (COUNTRIES) 36
FIGURA 53 FORTICWP WORKLOAD PROTECTION: EJEMPLO PARCIAL DE INFORME DE COMPLIANCE GDPR 36
FIGURA 54 FORTICWP CLOUD CONTAINER PROTECTION: DASHBOARD 38
FIGURA 55 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY 39
FIGURA 56 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (FLUJOS DE TRÁFICO) 39
FIGURA 57 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (INFORMACIÓN DETALLADA DEL POD) 40
FIGURA 58 FIGURA 57 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (DETALLE DE LAS LABELS ASIGNADAS AL
POD) 41
FIGURA 59 FIGURA 57 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (DETALLE DEL FLUJO DE TRÁFICO DEL
POD) 41
FIGURA 60 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (CONEXIONES EXTERNAS CONTRA IPS PÚBLICAS
SOSPECHOSAS) 42
FIGURA 61 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (DETALLE DE LAS IPS PÚBLICAS SOSPECHOSAS) 43
FIGURA 62 FORTICWP CONTAINER PROTECTION - ANÁLISIS DEL RIESGO Y VULNERABILIDADES EN REPOSITORIOS DE IMÁGENES
43
FIGURA 63 FORTICWP CONTAINER PROTECTION - ANÁLISIS DEL RIESGO Y VULNERABILIDADES EN UNA IMAGEN 44
FIGURA 64 FORTICWP CONTAINER PROTECTION - ANÁLISIS DEL RIESGO Y VULNERABILIDADES (LISTADO DE CVES) 44
FIGURA 65 FORTICWP CONTAINER PROTECTION - POLÍTICA DE INTEGRACIÓN CON ENTORNO DE CI/CD (JENKINS) 45
FIGURA 66 FORTICWP CONTAINER PROTECTION - FORTIVIEW COMPLIANCE (RESULTADO 'CIS BENCHMARK' GENERAL) 45
FIGURA 67 FORTICWP CONTAINER PROTECTION - FORTIVIEW COMPLIANCE (RESULTADO 'CIS BENCHMARK' DETALLADO POR
CLÚSTER DE KUBERNETES) 46
5
1 Introducción
1.1 Desafíos creados por la Nube Pública

A medida que las organizaciones incrementan la cantidad de datos almacenados en la Nube
Pública, se incrementa también su exposición al riesgo de errores en la configuración del
almacenamiento, a la fuga de información y a las amenazas derivadas del malware.
Las organizaciones cada vez más frecuentemente también transforman áreas claves de su
negocio desarrollando nuevos productos y servicios mediante la adopción de tecnologías
basadas en contenedores (arquitecturas en micro servicios). A su vez, estas tecnologías suponen
una nueva superficie de ataque y por tanto otro tipo de potencial riesgo a mitigar.
Nuevos marcos legales como el General Data Protection Regulation (GDPR) de la Unión Europea
o la evolución de marcos ya existentes como el Payment Card Industry Data Security Standard
(PCI DSS) sobre la identificación de información personal (‘PII’: Personal Identifiable
Information), dificultan el uso de la Nube Pública para ciertos datos y aplicaciones.
Las Nubes Públicas ofrecen soluciones de seguridad que típicamente hacen frente únicamente a
riesgos específicos, pero difícilmente ofrecen una estrategia de securización unificada, donde
haya una coordinación entre las distintas soluciones de seguridad de manera que se ofrezca una
protección holística y eficiente que minimice las brechas de seguridad.
Una estrategia de seguridad unificada para las Nubes Públicas debe cubrir los siguientes rentos:
● Visibilidad completa y en tiempo teal de ficheros de múltiples Nubes Públicas
● Identificar errores de configuración en el almacenamiento. La mayoría de las brechas

de la Nube Pública son resultado de errores de configuración, como por ejemplo, la
publicación no controlada de información de nóminas, tarjetas de crédito, información
médica o de patentes, al ser almacenados en entornos que por defecto no estan
restringidos
● Protección frente a fugas de información. Es importante que las organizaciones puedan,

de manera centralizada, monitorizar y generar informes relacionados con las fugas de
información de las distintas Nubes Públicas
● Detectar y mitigar malware de la Nube Pública. La posibilidad de almacenar cualquier

fichero de manera no supervisada en la Nube, magnifica el riesgo y supone una amenaza
seria
6
1.2 Nubes Públicas soportadas
Actualmente, FortiCWP se integra mediante APIs con AWS, AZURE y GOOGLE CLOUD.
Figura 1 Nubes Públicas soportadas
1.3 Arquitectura
FortiCWP es una solución SaaS alojada en la Nube privada de Fortinet (FortiCloud), cuyo enlace
de acceso es:
https://www.forticwp.com/#/login
La solución está compuesta por los siguientes dos módulos:
1. El módulo ‘Workload Protection’: Ofrece los servicios de Visibilidad, Securización y Best

Practices para entornos IaaS
2. El módulo ‘Container Protection’: Ofrece los servicios de Visibilidad, Securización y Best

Practices para entornos con tecnología de contenedores
…y ambos módulos se licencian por separado.
Una vez accedido a FortiCWP, por defecto se muestra el dashboard del módulo ‘Workload
Protection’, y para acceder al módulo de ‘Container Protection’ se requiere:
Figura 2 FortiCWP: Acceso a los módulos 'Workload Protection'/'Container Protection'
(el acceso por defecto al dashboard del módulo ‘Workload Protection’ o al de ‘Container
Protection’ es configurable mediante la opción ‘Set as Default Landing Page’ mostrada en la
captura de imagen anterior).
7
2 FortiCWP: Cloud Workload Protection
2.1 Visibilidad centralizada sobre las Nubes Públicas

FortiCWP presenta de forma centralizada desde un mismo portal, la siguiente información
relacionada con despliegues IaaS en AWS, AZURE y GOOGLE CLOUD.
2.1.1 Dashboard
Dispone de un ‘Dashboard’ que muestra la siguiente información:
Figura 3 FortiCWP Workload Protection: Dashboard (1)
Figura 4 FortiCWP Workload Protection: Dashboard (2)
8
1: Categorización por Riesgo de los despliegues realizados en las principales Nubes
Públicas
2: Número de instancias desplegadas en cada Nube Pública clasificas por nivel de riesgo
3: Listado y clasificación de lo tipos de riesgo detectados en las distintas instancias
desplegadas en cada Nube Pública
4: Análisis de la evaluación del riesgo en el almacenamiento según los distintos tipos de
permisos asociados
5: Resumen de la cantidad de Malware detectado
6: Resumen del total de ficheros que infringen alguna de las políticas de ‘Data Analysis’
7: Resumen del total de alertas abiertas clasificadas por severidad
8: Tendencia del riesgo evaluado desde diversas perspectivas
9: Listado de los distintos tipos de recursos monitorizados y clasificación según su riesgo
detectado
10: Listado de las políticas de seguridad más utilizadas
2.1.2 Alertas:
La solución permite generar alertas customizadas según se determine en las políticas de
seguridad, y dispone de un menú que permite su visualización en base a:
Figura 5 FortiCWP Workload Protection: Panel de Alertas (1)
1: Tipo de cuenta configurada de AWS, AZURE o GOOGLE CLOUD donde se haya

generado la alerta
2: Tipo de estado de alerta (‘Dismiss’, ‘Open’, ‘Acknowledge’ o ‘Resolved’)
3: El orígen de la alerta (‘Risk Assessment’, ‘Integration’, ‘Data Analysis’, ‘Network’,
‘Compliance’ & ‘Threat Protection’)
4: El periodo temporal en el que se haya generado la alerta
5: El tipo de severidad (‘Critical’, ‘Alert’, ‘Warning’, ‘Information’ & ‘Pass’) de la alerta
6: El tipo de actividad que haya generado la alerta
7: El tipo de política que haya generado la alerta
8: El origen geográfico (país) donde se haya generado la alerta
9: El nombre del objeto que haya generado la alerta
10: El ID del objeto que haya generado la alerta
9
Además, para cada alerta, se muestra también:
Figura 6 FortiCWP Workload Protection: Panel de Alertas (2)
11: El tipo de riesgo que se ha clasificado

12: Su estado de alerta y se permite su modificación según convenga
2.1.3 Recursos desplegados:

FortiCWP agrupa todos los recursos de la Núbe Pública y los permite analizar desde las
siguientes vistas:
2.1.3.1 ‘Table View’:

Listado de todos los recursos mostrando:
● La cuenta de Nube Pública al que pertenecen
● Su nombre
● Su ID
● La región o proyecto al que pertenecen
● El tipo de recurso que son
● Cómo se clasifican a nivel de riesgo
● Aspectos que FortiCWP determina relevantes
● La posibilidad de visualizar el recurso gráficamente dentro de su correspondiente cuenta
de Nube Pública (salto a la vista ‘Map View’ específica del recurso)
10
Figura 7 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Table View' (1)
Donde a nivel de cada recurso, se detalla también información relevante como se puede
observar a continuación:
11
12
El entorno permite también la búsqueda de recursos en base a los siguientes parámetros:
13
1: Tipo de cuenta de Nube Pública al que pertenece un recurso
2: Región geográfica donde se ha desplegado el recurso
3: Proyecto al que pertenece el recursos (filtro específico para recursos de GOOGLE
CLOUD)
4: Si el recurso ya ha sido eliminado o no
5: Búsqueda por el nombre o el ID del recurso
6: Búsqueda por tipo de recurso
7: Búsqueda por tipo de etiqueta (‘tag’) asignada al recurso
8: Búsqueda por el valor de la etiqueta (‘tag’) asignada al recurso
9: Búsqueda por parámetros clasificados automáticamente por FortiCWP
2.1.3.2 ‘Map View’:

Esta vista presenta los distintos recursos de cada Nube Pública de manera visual y organizados
jerárquicamente:
Figura 15 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Map View' (1)
14
Figura 16 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Map View' (2)
2.1.3.3 ‘Asset View’:

Esta vista permite organizar la información presentada de dos maneras: ‘por recurso’ y ‘por CVE’:
2.1.3.3.1 ‘Asset View’->’By Resource’:

Muestra información relativa al tipo de sistema operativo y versión, vulnerabilidades afectadas y
se puntúa a los recursos con un factor de riesgo determinado:
Figura 17 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Asset View' (1)
15
Figura 18 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Asset View' (2)
2.1.3.3.2 ‘Asset View’->’By CVE’:

Lista los CVE detectados y muestra aquellos recursos afectados por cada CVE:
Figura 19 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Asset View'/CVEs
2.1.3.4 ‘Attack Surface View’

Esta vista es muy parecida a la anterior (‘Asset View’), pero únicamente se ofrece sobre recursos
en AWS debido a que la información la proporciona el propio AWS.
Figura 20 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Attack Surface View'
16
2.1.4 Documentos almacenados:
En este menú se muestran todos los ficheros que FortiCWP está monitorizando. Se permite la
búsqueda de documentos filtrando por cuenta de Nube Pública (AWS, AZURE, GOOGLE CLOUD),
nombre de fichero, tipo de fichero (‘.txt’, ‘doc’, ‘.docx’, ‘.xls’, ‘pdf’) o incluso por contenedor (‘S3
Bucket’ de AWS, ‘Blob Container’ de AZURE, ‘Bucket’ de GOOGLE CLOUD):
Figura 21FortiCWP Workload Protection: Panel de Análisis de Documentos alojados en la Nube Pública
Los documentos se pueden clasificar automáticamente de 3 maneras distintas:
● ‘Malware’: Ficheros que han disparado la política DLP de Anti-Virus
● ‘Sensitive’: Ficheros que han violado cualquiera de la políticas de ‘Data

Analysis’
● ‘Clean Data’: Ficheros que no han violado ninguna de las políticas definidas en
FortiCWP
17
2.1.5 Monitorización y Trazabilidad de actividades realizadas por los usuarios:
Este menú dispone de un mapa que permite mostrar la geolocalización de eventos:
Figura 22 FortiCWP Workload Protection: Panel de Monitorización y Trazabilidad de Actividades de Usuario
Los eventos pueden ser de los siguientes tipos:
Figura 23 FortiCWP Workload Protection: Panel de Monitorización y Trazabilidad de Actividades de Usuario (tipos de
eventos)
Una actividad puede generar que distintas políticas se activen y generen a su vez distintas
alertas.
18
2.2 Asistente para maximizar la protección de los datos y la infraestructura
desplegados en la Nube Pública
FortiCWP proporciona de forma predefinida un conjunto de políticas de seguridad destinadas a
minimizar el riesgo de los datos alojados en la Nube Pública.
Para cada Nube Pública existen unas políticas de seguridad específicas para el análisis de riesgo,
y a continuación se listan las disponibles en cada caso:
2.2.1 Políticas predefinidas para el análisis de riesgo en entornos de AWS (un total de 140
políticas):
Access keys should be disabled for the root account CloudFront access logging should be enabled
Access keys should be rotated every 90 days Https-only traffic between CloudFront and viewers should be enforced
Password requirements should be enforced CloudFormation template should not have publicly accessible resources
MFA(Multi-factor Authentication) should be enabled on Root account CloudFormation stack should be integrated with SNS
MFA(Multi-factor authentication) should be enabled for IAM users Non-Web Ports should not be publicly accessible
Inactive IAM user over 90 days should be removed or disabled ACM Certificates with HeartBleed vulnerability need to be updated
IAM user should not have both console access and access keys ElasticSearch should not have open access policy
IAM user should not have more than one access key ElasticSearch domain should be put inside of VPC
KMS key rotation should be enabled Non-Root users should be created
ACM Certificate should be updated before it expires At least one IAM user should be assigned an access key
CloudTrail bucket should not be publicly accessible Administrator privilege should not be assigned to too many users
CloudTrail should be enabled across all regions Administrator privilege should not be assigned to too few users
CloudTrail log validation should be enabled S3-Delete permission should not be assigned to too many users
CloudTrail logs should be encrypted using Customer Master Keys IAM User should not have policy directly assigned
CloudTrail logs should be integrated with CloudWatch for all regions Unused access keys should be deleted
CloudTrail shouldn't stop logging Custom IAM policy should not be granted too many privileges
S3 buckets should have access logging enabled IAM support role or group should be created
CloudTrail buckets should have access logging enabled IAM Master and IAM Manager roles should be active
S3 buckets should not be publicly available KMS key should not be scheduled for deletion
EFS should restrict internet traffic Lambda functions should be encrypted with CMK
EFS should be encrypted Route 53 should be used
Only trusted AWS accounts should have access to Glacier RDS Retention Policies should meet best-practice of 7 days or more
RDS instances should be encrypted with customer managed keys RDS latest restorable time should not exceed 5 minutes
RDS instances should not be publicly accessible RDS event notification subscription should be enabled on each instance
RDS Security Group should not contain private IP addresses Redshift clusters should not be publicly accessible
RDS Security Group should not have large subnet Redshift clusters should be encrypted with customer managed keys
RDS Security Group should not have zero subnet SQS Server-Side Encryption should be enabled
RDS Security Group should restrict traffic SQS dead-letter queue should be created
RDS Security Group should not have 10.0.0.0/8 S3 Object Versioning should be enabled
Redshift database should use SSL for connections S3 buckets should have Server-Side Encryption enabled
Redshift database should enable audit logs EC2 instances should be deployed within VPCs
19
Redshift instances should be encrypted Default NACL should not be used for VPC subnet
Security Groups should block public traffic through RDP port (3389) Security groups applied on ELBs should restrict ingress traffic
Security Groups should block public traffic through SSH port (22) Customized VPC NACL should be created
Security groups should not allow all internet traffic without restriction The number of VPCs per region cannot exceed 5 by default
The number of Elastic IP addresses per region for EC2-VPC cannot exceed 5
Default Security Group should block all inbound traffic
by default
The number of Elastic IP addresses per region for EC2-Classic cannot exceed
VPC Flow Logs should be enabled
5 by default
VPC Flow log should be active The number of customer gateways per region cannot exceed 50 by default
ELB/ALB Logging should be enabled The number of VPN connections per region cannot exceed 50 by default
ELB/ALB SSL Listener should use the latest reference policy The number of security groups per VPC cannot exceed 500 by default
ELB/ALB should not have internet-facing scheme or contains ingress issues Unauthorized VPC peering connection should be prevented
ELB/ALB deletion protection should be enabled The number of private gateways per region cannot exceed 5 by default
EBS volumes should be encrypted AMI should not be public
EBS snapshots should not be publicly accessible The number of EC2 instances per region should not exceed the service limit
Only trusted AWS accounts should have access to EBS snapshots IAM groups and roles not in use should be deleted
Only trusted AWS accounts should have access to SQS RDS instances should be encrypted
SES identities should be verified EC2 Instances should block public traffic through RDP port (3389)
EBS volumes should be encrypted with customer managed keys EC2 Instances should block public traffic through SSH port (22)
Unattached EBS volumes need further actions EC2 Instances should not allow global permission to access Telnet port (23)
EBS volumes should have recent snapshots EC2 Instances should not allow global permission to access RPC port (135)
Security Groups should not allow global permission to access Telnet port (23) EC2 Instances should not allow global permission to access SMB port (445)
EC2 Instances should not allow global permission to access MySQL port
Security Groups should not allow global permission to access RPC port (135)
(3306)
EC2 Instances should not allow global permission to access MySQL port
Security Groups should not allow global permission to access SMB port (445)
(4333)
EC2 Instances should not allow global permission to access PostgreSQL port
Security Groups should not allow global permission to access MySQL port (3306)
(5432)
EC2 Instances should not allow global permission to access SQL Server port
Security Groups should not allow global permission to access MySQL port (4333)
(1433)
Security Groups should not allow global permission to access PostgreSQL port EC2 Instances should not allow global permission to access SQL Server port
(5432) (1434)
Security Groups should not allow global permission to access SQL Server port
EC2 Instances should not allow global permission to access VNC port (5500)
(1433)
Security Groups should not allow global permission to access SQL Server port
EC2 Instances should not allow global permission to access VNC port (5900)
(1434)
EC2 Instances should not allow global permission to access NetBIOS port
Security Groups should not allow global permission to access VNC port (5500)
(137)
EC2 Instances should not allow global permission to access NetBIOS port
Security Groups should not allow global permission to access VNC port (5900)
(138)
Security Groups should not allow global permission to access NetBIOS port (137) EC2 Instances should not allow global permission to access CIFS port (445)
Security Groups should not allow global permission to access NetBIOS port (138) EC2 Instances should not allow global permission to access FTP port (21)
EC2 Instances should not allow global permission to access FTP-Data port
Security Groups should not allow global permission to access CIFS port (445)
(20)
Security Groups should not allow global permission to access FTP port (21) EC2 Instances should not allow global permission to access SMTP port (25)
Security Groups should not allow global permission to access FTP-Data port (20) EC2 Instances should not allow global permission to access ICMP
Security Groups should not allow global permission to access SMTP port (25) EC2 Instances should not allow global permission to access DNS port (53)
EC2 Instances should not allow all internet traffic without restriction (Only
Security Groups should not allow global permission to access ICMP
apply to inbound traffic)
Security Groups should not allow global permission to access DNS port (53) EC2 Instances should not allow Non-Web Ports to be publicly accessible
20
Https-only traffic between CloudFront distribution and the origin should be
S3 buckets should not be publicly editable
enforced
CloudFront should use secure ciphers for distribution Abnormal EC2 Creation Alarm
Figura 24 FortiCWP Workload Protection: Políticas Predefinidas de Análisis de Riesgo para AWS
2.2.2 Políticas predefinidas para el análisis de riesgo en entornos de AZURE (un total de 66
políticas):
Config - SQLDB data transaction encryption should be enabled Security Configurations for virtual machines should be enabled
Endpoint protection recommendations for virtual machines
Config - SQLDB TDP detect all type threat
should be enabled
Disk encryption recommendations for virtual machines should be
Config - SQLDB audit retention days
enabled
Network security groups recommendations for virtual machines
Config - SQLDB traffic should be restricted
should be enabled
Network Security Groups should block public traffic through SSH port (22) Storage Encryption should be enabled
Network Security Groups should block public traffic through RDP port (3389) JIT Network Access for virtual machines should be enabled
Network Security Groups should block public traffic through Telnet port (23) The adaptive application controls should be enabled
Network Security Groups should block public traffic through VNC port (5500) Security contact email address should not be empty
Network Security Groups should block public traffic through VNC port (5900) Security alerts emailing to security contact should be enabled
Network Security Groups should block public traffic through SMB port (445) Security alerts emailing to owners should be enabled
Network Security Groups should block public traffic through RPC port (135) Config - SQLDB TDP should be enabled
Network Security Groups should block public traffic through DNS port (53) Config - SQLDB Auditing should be enabled
Azure virtual machines should block public traffic through RDP
Network Security Groups should block public traffic through FTP port (20)
port (3389)
Azure virtual machines should block public traffic through SSH
Network Security Groups should block public traffic through FTP port (21)
port (22)
Azure virtual machines should not allow global permission to
Network Security Groups should block public traffic through MySQL port (4333)
access RPC port (135)
Network Security Groups should block public traffic through CIFS UDP port (445)
access SMB port (445)
Network Security Groups should block public traffic through MySQL port (3306)
access MySQL port (3306)
Network Security Groups should block public traffic through NetBIOS UDP port Azure virtual machines should not allow global permission to
(137) access MySQL port (4333)
Network Security Groups should block public traffic through NetBIOS UDP port Azure virtual machines should not allow global permission to
(138) access PostgreSQL port (5432)
Network Security Groups should block public traffic through PostgreSQL port (5432)
access SQL Server port (1433)
Network Security Groups should block public traffic through SQL Server port (1433)
access SQL Server port (1434)
Network Security Groups should block public traffic through SMTP port (25)
access VNC port (5500)
Network Security Groups should enable the flow logs
access VNC port (5900)
The flow logs retention day
access NetBIOS port (137)
Network Security Groups should not allow global permission to access SQL Server Azure virtual machines should not allow global permission to
port (1434) access NetBIOS port (138)
Network watchers should be enabled
access CIFS port (445)
VM disk should be encrypted
access FTP port (21)
Storage account transit encryption should be enabled
access FTP-Data port (20)
Storage account should be encrypted
access SMTP port (25)
Storage accounts containers should be private
access ICMP
21
Redis connect access should via SSL
access DNS port (53)
Azure virtual machines should not allow all internet traffic
Automatic provisioning of monitoring agent should be enabled
without restriction (Only apply to inbound traffic)
Azure virtual machines should not allow Non-Web Ports to be
System updates recommendations for virtual machines should be enabled
publicly accessible
Figura 25 FortiCWP Workload Protection: Políticas Predefinidas de Análisis de Riesgo para AZURE
2.2.3 Políticas predefinidas para el análisis de riesgo en entornos de GOOGLE CLOUD (un total
de 52 políticas):
Cloud KMS key rotation should be enabled Cloud SQL DB Instance backup configuration should be enabled
App Engine SSL Certificates should be updated before it expires Cloud SQL DB instance should have Label
Compute Engine Load balancer should not have internet-facing scheme or
Compute Engine VM Instances should have Custom metadata information
contains ingress issues
Firewall rules should block public traffic through RDP port (3389) Compute Engine VM Instances should have Label information
Compute engine instance should block public traffic through RDP port
Firewall rules should not allow all internet traffic without restriction
(3389)
Firewall rules should block public traffic through SSH port (22) Compute engine instance should block public traffic through SSH port (22)
Compute engine instance should block public traffic through Telnet port
Cloud Storage buckets should not be publicly available
(23)
Only trusted Google Cloud accounts should have access to Storage Compute engine instance should block public traffic through RPC port
Nearline (135)
Compute engine instance should block public traffic through SMB port
Firewall rules should restrict ZFS internet traffic
(445)
Compute engine instance should block public traffic through MySQL port
Authorized networks of Cloud SQL DB instances should restrict traffic
(3306)
Authorized networks of Cloud SQL DB instances should not have zero Compute engine instance should block public traffic through MySQL port
subnet (4333)
Authorized networks of Cloud SQL DB instances should not have large Compute engine instance should block public traffic through PostgreSQL
subnet port (5432)
Compute engine instance should block public traffic through SQL Server
Firewall rules should not have any rules (except http and https)
port (1433)
Compute engine instance should block public traffic through SQL Server
Firewall rules should not allow global permission to access DNS port (53)
port (1434)
Compute engine instance should block public traffic through VNC port
Firewall rules should not allow global permission to access FTP port (21)
(5500)
Compute engine instance should block public traffic through VNC port
Firewall rules should not allow global permission to access HTTP port (80)
(5900)
Compute engine instance should block public traffic through NetBIOS port
Firewall rules should not allow global permission to access SMB port (445)
(137)
Firewall rules should not allow global permission to access MongoDB port Compute engine instance should block public traffic through NetBIOS port
(27017) (138)
Firewall rules should not allow global permission to access MySQL port Compute engine instance should block public traffic through CIFS port
(3306) (445)
Firewall rules should not allow global permission to access NetBIOS port
Compute engine instance should block public traffic through FTP port (21)
(139)
Firewall rules should not allow global permission to access Oracle DB port Compute engine instance should block public traffic through FTP-Data port
(1521) (20)
Compute engine instance should block public traffic through SMTP port
Firewall rules should not allow global permission to access POP3 port (110)
(25)
Firewall rules should not allow global permission to access PostgreSQL port
Compute engine instance should block public traffic through ICMP
(5432)
Firewall rules should not allow global permission to access SMTP port (25) Compute engine instance should block public traffic through DNS port (53)
Compute engine instance should not allow all internet traffic without
Firewall rules should not allow global permission to access Telnet port (23)
restriction (Only apply to inbound traffic)
Compute engine instance should not allow Non-Web Ports to be publicly
Cloud SQL DB Instance backup Binary logs configuration should be enabled
accessible
Figura 26 FortiCWP Workload Protection: Políticas Predefinidas de Análisis de Riesgo para GOOGLE CLOUD
22
2.2.4 Políticas customizadas para el análisis de riesgo
Existe también la posibilidad de definir políticas de análisis de riesgo customizadas, que
consisten en la definición de un patrón de código al que se le determina un determinada
severidad.
2.2.5 Políticas de seguridad de red

Están también disponibles para todas las Nubes Públicas (de manera predefinida) las siguientes
políticas de seguridad de red:
Figura 27 FortiCWP Workload Protection: Políticas Predefinidas de Seguridad de Red
23
2.3 Detección y Respuesta frente amenazas en los datos alojados en la Nube
Pública
2.3.1 Ransomware y Malware
FortiCWP mitiga los riesgos asociados al Ransomware y al malware potencialmente
almacenado en la Nube Pública. El servicio automáticamente incluye las firmas de antivirus de
FortiGuard para escanear los datos almacenados en la Nube Pública, y permite la integración con
FortiSandBox-Cloud para mejorar la protección de los datos de amenazas ‘zero-day’.
Figura 28 FortiCWP Workload Protection: Políticas de 'Data Analysis' para el escaneo automático de Malware
Figura 29 FortiCWP Workload Protection: Políticas de 'Data Analysis' para el escaneo automático de ficheros
encriptados por Ransomware
24
Figura 30 FortiCWP Workload Protection: Políticas disponibles de ‘Threat Protection’
Figura 31 FortiCWP Workload Protection: Detección de un Fichero Ransomware
2.3.2 Análisis de los Flujos de Tráfico

La solución también realiza un análisis de los flujos de tráfico tanto internos a una misma Nube
Pública como de los flujos externos. Se integra también con los Indicadores de Compromiso (IOC)
y bases de datos anti-botnet de FortiGuard para detectar instancias comprometidas.
25
Figura 32 FortiCWP Workload Protection: Análisis de los Flujos de Tráfico
26
2.4 DLP (Data Leak Prevention)
2.4.1 Políticas predefinidas para DLP
FortiCWP dispone de políticas predefinidas de DLP para ayudar a las organizaciones a
mitigar el riesgo de exponer a terceros información sensible no autorizada:
Figura 33 FortiCWP Workload Protection: Políticas Predefinidas para combatir la Fuga de Datos
Figura 34 FortiCWP Workload Protection: Información mostrada sobre la detección de Fuga de Datos de un Fichero
27
2.4.2 Políticas customizadas de DLP
Existe también la posibilidad de definir políticas de DLP customizadas, que consisten en:
2.4.2.1 La definición de un patrón de Datos
Figura 35 FortiCWP Workload Protection: Definición de un 'Data Pattern' para definir políticas customizadas de DLP
2.4.2.2 Definición de una política customizada de DLP

Seleccionando un patrón de Datos definido como el del apartado anterior, y definiendo el nivel
de serveridad:
Figura 36 FortiCWP Workload Protection: Definición de una política customizada de DLP
28
2.5 Compliance de Best Practices de Seguridad en la Nube Pública
La solución incluye las siguientes de políticas de compliance alineadas con los principales
estándares (SOX-COBIT, PCI-DSS, HIPAA, GDPR, NIST SP 800-53 rev4, NIST SP 800-171 y ISO
27001).
2.5.1 Políticas de Compliance SOX-COBIT:
Figura 37 FortiCWP Workload Protection: Políticas de Compliance SOX-COBIT
2.5.2 Políticas de Compliance PCI-DSS:
Figura 38 FortiCWP Workload Protection: Políticas de Compliance PCI-DSS
29
2.5.3 Políticas de Compliance HIPAA:
Figura 39 FortiCWP Workload Protection: Políticas de Compliance HIPAA
2.5.4 Políticas de Compliance GDPR:
Figura 40 FortiCWP Workload Protection: Políticas de Compliance GDPR
30
2.5.5 Políticas de Compliance NIST SP 800-53 rev4 :
Figura 41 FortiCWP Workload Protection: Políticas de Compliance NIST SP 800-53 rev4 (1)
31
2.5.6 Políticas de Compliance NIST SP 800-171:
Figura 44 FortiCWP Workload Protection: Políticas de Compliance NIST SP 800-171 (1)
Figura 45 FortiCWP Workload Protection: Políticas de Compliance NIST SP 800-171 (2)
32
2.5.7 Políticas de Compliance ISO 27001:
Figura 46 FortiCWP Workload Protection: Políticas de Compliance ISO 27001
33
2.6 Reporting
2.6.1 C-Level
Este informe ofrece una vista de alto nivel de la situación de las diferentes Nubes Públicas
integradas dentro de la plataforma en periodos mensuales, trimestrales o anuales. El formato es
muy visual buscando no tanto el detalle sino la visión general del estado de la organización.
Figura 47 FortiCWP Workload Protection: Ejemplo de informe C-Level (Overview)
Figura 48 FortiCWP Workload Protection: Ejemplo de informe C-Level (Alertas)
34
Figura 49 FortiCWP Workload Protection: Ejemplo de informe C-Level (Recursos)
Figura 50 FortiCWP Workload Protection: Ejemplo de informe C-Level (Almacenamiento)
Figura 51 FortiCWP Workload Protection: Ejemplo de informe C-Level (Top Charts)
35
Figura 52 FortiCWP Workload Protection: Ejemplo de informe C-Level (Countries)
2.6.2 Compliance
Los informes de Compliance permiten evaluar el nivel de cumplimiento que el uso de cada una
de las aplicaciones está ofreciendo.
Para ello se permite definir la normativa aplicable, la aplicación a analizar y el periodo del análisis
obteniendo como resultado completos informes que incluyen tanto un fichero PDF con el
resumen de los diferentes hallazgos como ficheros .csv con un detalle de cada uno de estos
hallazgos:
Figura 53 FortiCWP Workload Protection: Ejemplo parcial de informe de compliance GDPR
36
2.6.3 Alertas y Actividad
Tanto el informe de alertas como el de actividad permiten llevar a cabo una exportación con las
diferentes alertas y toda la actividad generada mensualmente en las distintas Nubes Públicas,
recibiendo una exportación basada en un fichero .csv.
2.7 Licenciamiento (módulo Workload Protection):

El módulo Workload Protection se licencia teniendo en cuenta los siguientes dos factores:
2.7.1 Número de hosts/instancias:

Se trata de una modalidad por subscripción, y admite dos tipos de SKUs:
- Subscripción FortiCWP Workload Guardian para 20 hosts: ‘FC-10-FCWPW-315-02-DD’
- Subscripción FortiCWP Workload Guardian para 100 hosts: ‘FC2-10-FCWPW-315-02-DD’
2.7.2 Volumen de datos a securizar:

También es una modalidad por subscripción con dos niveles de servicio:
2.7.2.1 Basic:
o Subscripción FortiCWP Cloud Storage Protection, Basic, para 100GB data:
‘FC-10-FCWPS-316-02-DD’
o Subscripción FortiCWP Cloud Storage Protection, Basic, para 1TB data:

‘FC1-10-FCWPS-316-02-DD’
2.7.2.2 Advanced
Este nivel de servicio añade sobre el ‘Basic’ las capacidades de DLP. Los SKUs son:
o Subscripción FortiCWP Cloud Storage Protection, Advanced, para 100GB data:
‘FC-10-FCWPS-317-02-DD’
o Subscripción FortiCWP Cloud Storage Protection, Advanced, para 1TB data:

‘FC1-10-FCWPS-317-02-DD’
37
3 FortiCWP: Cloud Container Protection
3.1 Visibilidad Centralizada sobre los entornos de Contenedores de las Nubes

Públicas
3.1.1 Cloud Container Protection Dashboard
El módulo de ‘Container Protection’ dispone de un ‘Dashboard’ que muestra la siguiente
información:
Figura 54 FortiCWP Cloud Container Protection: Dashboard
…donde:
1. Muestra un listado de los registros que presentan alguna vulnerabilidad
2. Muestra un listado del número de políticas de compliance incumplidas para cada clúster
de Kubernetes definido
3. Presenta una clasificación de todas las imágenes detectadas en los repositorios según:
a. Los tipos de riesgo (‘Critical/High/Medium/Low/Info’)
b. El tipo de plataforma de registro donde se encuentran
c. El tipo de sistema operativo
4. Muestra un listado de los ‘TOP 10’ CVEs detectados en las imágenes de los repositorios
5. Presenta un ‘overview’ del estado de las políticas de compliance de los ‘TOP 10’ clúster
de Kubernetes que no cumplen en alguna de dichas políticas
38
3.1.2 Container Visibility
En este menú se muestran los distintos clústeres de Kubernetes analizados por FortiCWP
Container Protection, donde para clúster se detalla:
● El número de nodos que forman el cluster
● El estado del Kubernetes Agent
● El número de imágenes registradas y indicadores de su riesgo
● El número de policies del CIS Benchmark que se cumplen
Figura 55 FortiCWP Container Protection - Container Visibility
Si se accede al menú ‘View Container Visibility’ de cada clúster, se representan gráficamente los
distintos componentes que forman el clúster y sus flujos de tráfico
Figura 56 FortiCWP Container Protection - Container Visibility (flujos de tráfico)
39
Es posible ‘clickar’ sobre cualquier pod para obtener información detallada del recurso como:
● Los valores de ‘Replica’
● El tiempo que lleva operativo
● Las etiquetas (‘Labels’) asignadas
● La imagen que está utilizando
● El detalle de los flujos de tráfico tanto entrantes como salientes de pod en cuestión
Figura 57 FortiCWP Container Protection - Container Visibility (Información detallada del Pod)
40
Figura 58 Figura 57 FortiCWP Container Protection - Container Visibility (Detalle de las Labels asignadas al Pod)
41
Figura 59 Figura 57 FortiCWP Container Protection - Container Visibility (Detalle del flujo de tráfico del Pod)
Y en este caso se muestra claramente la integración de FortiCWP Container Protection con

Fortiguard, pues aparecen conexiones externas contra IPs públicas que han sido catalogadas
como sospechosas por Fortiguard:
42
Figura 60 FortiCWP Container Protection - Container Visibility (Conexiones externas contra IPs públicas sospechosas)
43
Figura 61 FortiCWP Container Protection - Container Visibility (Detalle de las IPs públicas sospechosas)
3.2 Análisis del Riesgo y Vulnerabilidades en los Registros/Repositorios de

Contenedores
Sobre los registros/repositorios dados de alta en FortiCWP Container Protection, se realizan
escaneos periódicos en búsqueda de vulnerabilidades (por defecto cada 12h, aunque el intérvalo
es configurable), de manera que en todo momento es posible visualizar el número y tipo de
vulnerabilidades detectadas por repositorio. Además, FortiCWP utiliza esta información para
determinar cada repositorio con un valor de riesgo estimado:
Figura 62 FortiCWP Container Protection - Análisis del Riesgo y Vulnerabilidades en repositorios de imágenes
44
Es posible determinar las distintas vulnerabilidades detectadas en cada imagen, incluso con su
CVE asociado:
Figura 63 FortiCWP Container Protection - Análisis del Riesgo y Vulnerabilidades en una imagen
…y también es posible listar todas las vulnerabilidades detectadas por FortiCWP Container
Protection y ver qué imágenes se han detectado:
Figura 64 FortiCWP Container Protection - Análisis del Riesgo y Vulnerabilidades (listado de CVEs)
45
3.3 Automatización de la Seguridad e Integración con herramientas de CI/CD
(Jenkins)
La solución permite integrarse con Jenkins y definir una política donde las compilaciones de
código se bloqueen automáticamente en base a la configuración que se aplique en la política con
respecto al número de vulnerabilidades encontradas:
Figura 65 FortiCWP Container Protection - Política de integración con entorno de CI/CD (Jenkins)
3.4 Simplificación del Compliance de Best Practices de Seguridad en Entornos de

Contenedores de la Nube Pública
La solución dispone de una serie de políticas predefinidas de compliance basadas en:
● CIS Kubernetes Benchmark
● CIS Benchmark for EKS
● CIS Benchmark for GKE
Cada una de las distintas políticas permite habilitarse/deshabilitarse individualmente.
Des de el menú ‘FortiView->Compliance’ es posible ver el resultado del ‘CIS Benchmark’ de cada
clúster de Kubernetes:
Figura 66 FortiCWP Container Protection - FortiView Compliance (resultado 'CIS Benchmark' general)
46
Incluyendo el detalle del resultado por cada clúster de Kubernetes:
Figura 67 FortiCWP Container Protection - FortiView Compliance (resultado 'CIS Benchmark' detallado por clúster de
Kubernetes)
3.5 Compatibilidad: Amplia Integración con las Principales Plataformas de

Microservicios
FortiCWP Container Guardian tiene soporte con los siguientes entornos:
● Contenedores operando sobre Linux
● Plataformas de orquestración tipo:

o Amazon Elastic Kubernetes Services (EKS)
o Google Kubernetes Engine (GKE)
o Azure Kubernetes Service (AKS)
● Servicios de registro de repositorios tipo:

o Amazon Elastic Container Service (ECS)
o Google Cloud Registry (GCR)
o Azure Container Service (ACR)
o Harbor
o Red Hat Openshift
o Docker Hub
● Entorno de desarrollo CI/CD:

o Jenkins
47
3.6 Licenciamiento (módulo Container Protection):
El módulo Container Protection se licencia teniendo en cuenta los siguientes dos factores:
3.6.1 Número de container hosts/work nodes:

Se trata de una modalidad por subscripción, y admite el siguiente SKUs:
- Subscripción FortiCWP Container Guardian para 4 hosts: ‘FC-10-FCWPC-327-02-DD’
3.6.2 Volumen de datos a securizar:

Se trata del mismo licenciamiento que para el módulo ‘Workload Protection’. Así pues, es una
modalidad por subscripción con dos niveles de servicio:
3.6.2.1 Basic:
o Subscripción FortiCWP Cloud Storage Protection, Basic, para 100GB data:
‘FC-10-FCWPS-316-02-DD’
o Subscripción FortiCWP Cloud Storage Protection, Basic, para 1TB data:

‘FC1-10-FCWPS-316-02-DD’
3.6.2.2 Advanced
Este nivel de servicio añade sobre el ‘Basic’ las capacidades de DLP. Los SKUs son:
o Subscripción FortiCWP Cloud Storage Protection, Advanced, para 100GB data:
‘FC-10-FCWPS-317-02-DD’
o Subscripción FortiCWP Cloud Storage Protection, Advanced, para 1TB data:

‘FC1-10-FCWPS-317-02-DD’
48

FORTICWP Documento Descriptivo v1.0

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

FORTICWP Documento Descriptivo v1.0

Cargado por

Copyright:

Formatos disponibles

ÍNDICE DEL CONTENIDO

1.1 DESAFÍOS CREADOS POR LA NUBE PÚBLICA 6

2 FORTICWP: CLOUD WORKLOAD PROTECTION 8

2.1 VISIBILIDAD CENTRALIZADA SOBRE LAS NUBES PÚBLICAS 8

3 FORTICWP: CLOUD CONTAINER PROTECTION 38

1.1 Desafíos creados por la Nube Pública

● Visibilidad completa y en tiempo teal de ficheros de múltiples Nubes Públicas

● Identificar errores de configuración en el almacenamiento. La mayoría de las brechas

● Protección frente a fugas de información. Es importante que las organizaciones puedan,

● Detectar y mitigar malware de la Nube Pública. La posibilidad de almacenar cualquier

Figura 1 Nubes Públicas soportadas

La solución está compuesta por los siguientes dos módulos:

1. El módulo ‘Workload Protection’: Ofrece los servicios de Visibilidad, Securización y Best

2. El módulo ‘Container Protection’: Ofrece los servicios de Visibilidad, Securización y Best

…y ambos módulos se licencian por separado.

Figura 2 FortiCWP: Acceso a los módulos 'Workload Protection'/'Container Protection'

2.1 Visibilidad centralizada sobre las Nubes Públicas

Figura 3 FortiCWP Workload Protection: Dashboard (1)

Figura 4 FortiCWP Workload Protection: Dashboard (2)

Figura 5 FortiCWP Workload Protection: Panel de Alertas (1)

1: Tipo de cuenta configurada de AWS, AZURE o GOOGLE CLOUD donde se haya

Figura 6 FortiCWP Workload Protection: Panel de Alertas (2)

11: El tipo de riesgo que se ha clasificado

2.1.3 Recursos desplegados:

2.1.3.1 ‘Table View’:

El entorno permite también la búsqueda de recursos en base a los siguientes parámetros:

2.1.3.2 ‘Map View’:

2.1.3.3 ‘Asset View’:

2.1.3.3.1 ‘Asset View’->’By Resource’:

2.1.3.3.2 ‘Asset View’->’By CVE’:

2.1.3.4 ‘Attack Surface View’

Los documentos se pueden clasificar automáticamente de 3 maneras distintas:

● ‘Malware’: Ficheros que han disparado la política DLP de Anti-Virus

● ‘Sensitive’: Ficheros que han violado cualquiera de la políticas de ‘Data

Figura 22 FortiCWP Workload Protection: Panel de Monitorización y Trazabilidad de Actividades de Usuario

Los eventos pueden ser de los siguientes tipos:

KMS key rotation should be enabled Non-Root users should be created

EFS should be encrypted Route 53 should be used

EBS volumes should be encrypted AMI should not be public

2.2.5 Políticas de seguridad de red

Figura 27 FortiCWP Workload Protection: Políticas Predefinidas de Seguridad de Red

Figura 31 FortiCWP Workload Protection: Detección de un Fichero Ransomware

2.3.2 Análisis de los Flujos de Tráfico

2.4.2.2 Definición de una política customizada de DLP

Figura 36 FortiCWP Workload Protection: Definición de una política customizada de DLP

Figura 37 FortiCWP Workload Protection: Políticas de Compliance SOX-COBIT

2.5.2 Políticas de Compliance PCI-DSS:

Figura 38 FortiCWP Workload Protection: Políticas de Compliance PCI-DSS

Figura 39 FortiCWP Workload Protection: Políticas de Compliance HIPAA

2.5.4 Políticas de Compliance GDPR:

Figura 40 FortiCWP Workload Protection: Políticas de Compliance GDPR

2.5.6 Políticas de Compliance NIST SP 800-171:

Figura 44 FortiCWP Workload Protection: Políticas de Compliance NIST SP 800-171 (1)

Figura 45 FortiCWP Workload Protection: Políticas de Compliance NIST SP 800-171 (2)

Figura 46 FortiCWP Workload Protection: Políticas de Compliance ISO 27001

Figura 47 FortiCWP Workload Protection: Ejemplo de informe C-Level (Overview)

Figura 48 FortiCWP Workload Protection: Ejemplo de informe C-Level (Alertas)

Figura 50 FortiCWP Workload Protection: Ejemplo de informe C-Level (Almacenamiento)

Figura 51 FortiCWP Workload Protection: Ejemplo de informe C-Level (Top Charts)

2.7 Licenciamiento (módulo Workload Protection):

2.7.1 Número de hosts/instancias:

- Subscripción FortiCWP Workload Guardian para 20 hosts: ‘FC-10-FCWPW-315-02-DD’

- Subscripción FortiCWP Workload Guardian para 100 hosts: ‘FC2-10-FCWPW-315-02-DD’