Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 INTRODUCCIÓN 6
2
2.5.4 Políticas de Compliance GDPR: 29
2.5.5 Políticas de Compliance NIST SP 800-53 rev4 : 30
2.5.6 Políticas de Compliance NIST SP 800-171: 32
2.5.7 Políticas de Compliance ISO 27001: 33
2.6 REPORTING 34
2.6.1 C-Level 34
2.6.2 Compliance 36
2.6.3 Alertas y Actividad 37
2.7 LICENCIAMIENTO (MÓDULO WORKLOAD PROTECTION): 37
2.7.1 Número de hosts/instancias: 37
2.7.2 Volumen de datos a securizar: 37
2.7.2.1 Basic: 37
2.7.2.2 Advanced 37
3.1 VISIBILIDAD CENTRALIZADA SOBRE LOS ENTORNOS DE CONTENEDORES DE LAS NUBES PÚBLICAS 38
3.1.1 Cloud Container Protection Dashboard 38
3.1.2 Container Visibility 39
3.2 ANÁLISIS DEL RIESGO Y VULNERABILIDADES EN LOS REGISTROS/REPOSITORIOS DE CONTENEDORES 43
3.3 AUTOMATIZACIÓN DE LA SEGURIDAD E INTEGRACIÓN CON HERRAMIENTAS DE CI/CD (JENKINS) 45
3.4 SIMPLIFICACIÓN DEL COMPLIANCE DE BEST PRACTICES DE SEGURIDAD EN ENTORNOS DE CONTENEDORES DE LA
NUBE PÚBLICA 45
3.5 COMPATIBILIDAD: AMPLIA INTEGRACIÓN CON LAS PRINCIPALES PLATAFORMAS DE MICROSERVICIOS 46
3.6 LICENCIAMIENTO (MÓDULO CONTAINER PROTECTION): 47
3.6.1 Número de container hosts/work nodes: 47
3.6.2 Volumen de datos a securizar: 47
3.6.2.1 Basic: 47
3.6.2.2 Advanced 47
3
ÍNDICE DE LAS FIGURAS
FIGURA 1 NUBES PÚBLICAS SOPORTADAS 7
FIGURA 2 FORTICWP: ACCESO A LOS MÓDULOS 'WORKLOAD PROTECTION'/'CONTAINER PROTECTION' 7
FIGURA 3 FORTICWP WORKLOAD PROTECTION: DASHBOARD (1) 8
FIGURA 4 FORTICWP WORKLOAD PROTECTION: DASHBOARD (2) 8
FIGURA 5 FORTICWP WORKLOAD PROTECTION: PANEL DE ALERTAS (1) 9
FIGURA 6 FORTICWP WORKLOAD PROTECTION: PANEL DE ALERTAS (2) 10
FIGURA 7 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'TABLE VIEW' (1) 11
FIGURA 8 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'TABLE VIEW' (2) 11
FIGURA 9 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'TABLE VIEW' (3) 12
FIGURA 10 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'TABLE VIEW' (4) 12
FIGURA 11 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'TABLE VIEW' (5) 12
FIGURA 12 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'TABLE VIEW' (6) 13
FIGURA 13 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'TABLE VIEW' (7) 13
FIGURA 14 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'TABLE VIEW' (8) 13
FIGURA 15 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'MAP VIEW' (1) 14
FIGURA 16 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'MAP VIEW' (2) 14
FIGURA 17 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'ASSET VIEW' (1) 15
FIGURA 18 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'ASSET VIEW' (2) 15
FIGURA 19 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'ASSET VIEW'/CVES 16
FIGURA 20 FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE RECURSOS DESPLEGADOS - 'ATTACK SURFACE VIEW'
16
FIGURA 21FORTICWP WORKLOAD PROTECTION: PANEL DE ANÁLISIS DE DOCUMENTOS ALOJADOS EN LA NUBE PÚBLICA 17
FIGURA 22 FORTICWP WORKLOAD PROTECTION: PANEL DE MONITORIZACIÓN Y TRAZABILIDAD DE ACTIVIDADES DE USUARIO
18
FIGURA 23 FORTICWP WORKLOAD PROTECTION: PANEL DE MONITORIZACIÓN Y TRAZABILIDAD DE ACTIVIDADES DE USUARIO
(TIPOS DE EVENTOS) 18
FIGURA 24 FORTICWP WORKLOAD PROTECTION: POLÍTICAS PREDEFINIDAS DE ANÁLISIS DE RIESGO PARA AWS 21
FIGURA 25 FORTICWP WORKLOAD PROTECTION: POLÍTICAS PREDEFINIDAS DE ANÁLISIS DE RIESGO PARA AZURE 22
FIGURA 26 FORTICWP WORKLOAD PROTECTION: POLÍTICAS PREDEFINIDAS DE ANÁLISIS DE RIESGO PARA GOOGLE CLOUD
22
FIGURA 27 FORTICWP WORKLOAD PROTECTION: POLÍTICAS PREDEFINIDAS DE SEGURIDAD DE RED 23
FIGURA 28 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE 'DATA ANALYSIS' PARA EL ESCANEO AUTOMÁTICO DE MALWARE
24
FIGURA 29 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE 'DATA ANALYSIS' PARA EL ESCANEO AUTOMÁTICO DE FICHEROS
ENCRIPTADOS POR RANSOMWARE 24
FIGURA 30 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DISPONIBLES DE ‘THREAT PROTECTION’ 24
FIGURA 31 FORTICWP WORKLOAD PROTECTION: DETECCIÓN DE UN FICHERO RANSOMWARE 25
FIGURA 32 FORTICWP WORKLOAD PROTECTION: ANÁLISIS DE LOS FLUJOS DE TRÁFICO 25
FIGURA 33 FORTICWP WORKLOAD PROTECTION: POLÍTICAS PREDEFINIDAS PARA COMBATIR LA FUGA DE DATOS 26
FIGURA 34 FORTICWP WORKLOAD PROTECTION: INFORMACIÓN MOSTRADA SOBRE LA DETECCIÓN DE FUGA DE DATOS DE UN
FICHERO 26
FIGURA 35 FORTICWP WORKLOAD PROTECTION: DEFINICIÓN DE UN 'DATA PATTERN' PARA DEFINIR POLÍTICAS CUSTOMIZADAS
DE DLP 27
FIGURA 36 FORTICWP WORKLOAD PROTECTION: DEFINICIÓN DE UNA POLÍTICA CUSTOMIZADA DE DLP 27
FIGURA 37 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE SOX-COBIT 28
FIGURA 38 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE PCI-DSS 28
FIGURA 39 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE HIPAA 29
FIGURA 40 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE GDPR 29
FIGURA 41 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE NIST SP 800-53 REV4 (1) 30
4
FIGURA 42 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE NIST SP 800-53 REV4 (2) 30
FIGURA 43 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE NIST SP 800-53 REV4 (3) 31
FIGURA 44 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE NIST SP 800-171 (1) 32
FIGURA 45 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE NIST SP 800-171 (2) 32
FIGURA 46 FORTICWP WORKLOAD PROTECTION: POLÍTICAS DE COMPLIANCE ISO 27001 33
FIGURA 47 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (OVERVIEW) 34
FIGURA 48 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (ALERTAS) 34
FIGURA 49 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (RECURSOS) 35
FIGURA 50 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (ALMACENAMIENTO) 35
FIGURA 51 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (TOP CHARTS) 35
FIGURA 52 FORTICWP WORKLOAD PROTECTION: EJEMPLO DE INFORME C-LEVEL (COUNTRIES) 36
FIGURA 53 FORTICWP WORKLOAD PROTECTION: EJEMPLO PARCIAL DE INFORME DE COMPLIANCE GDPR 36
FIGURA 54 FORTICWP CLOUD CONTAINER PROTECTION: DASHBOARD 38
FIGURA 55 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY 39
FIGURA 56 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (FLUJOS DE TRÁFICO) 39
FIGURA 57 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (INFORMACIÓN DETALLADA DEL POD) 40
FIGURA 58 FIGURA 57 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (DETALLE DE LAS LABELS ASIGNADAS AL
POD) 41
FIGURA 59 FIGURA 57 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (DETALLE DEL FLUJO DE TRÁFICO DEL
POD) 41
FIGURA 60 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (CONEXIONES EXTERNAS CONTRA IPS PÚBLICAS
SOSPECHOSAS) 42
FIGURA 61 FORTICWP CONTAINER PROTECTION - CONTAINER VISIBILITY (DETALLE DE LAS IPS PÚBLICAS SOSPECHOSAS) 43
FIGURA 62 FORTICWP CONTAINER PROTECTION - ANÁLISIS DEL RIESGO Y VULNERABILIDADES EN REPOSITORIOS DE IMÁGENES
43
FIGURA 63 FORTICWP CONTAINER PROTECTION - ANÁLISIS DEL RIESGO Y VULNERABILIDADES EN UNA IMAGEN 44
FIGURA 64 FORTICWP CONTAINER PROTECTION - ANÁLISIS DEL RIESGO Y VULNERABILIDADES (LISTADO DE CVES) 44
FIGURA 65 FORTICWP CONTAINER PROTECTION - POLÍTICA DE INTEGRACIÓN CON ENTORNO DE CI/CD (JENKINS) 45
FIGURA 66 FORTICWP CONTAINER PROTECTION - FORTIVIEW COMPLIANCE (RESULTADO 'CIS BENCHMARK' GENERAL) 45
FIGURA 67 FORTICWP CONTAINER PROTECTION - FORTIVIEW COMPLIANCE (RESULTADO 'CIS BENCHMARK' DETALLADO POR
CLÚSTER DE KUBERNETES) 46
5
1 Introducción
Las organizaciones cada vez más frecuentemente también transforman áreas claves de su
negocio desarrollando nuevos productos y servicios mediante la adopción de tecnologías
basadas en contenedores (arquitecturas en micro servicios). A su vez, estas tecnologías suponen
una nueva superficie de ataque y por tanto otro tipo de potencial riesgo a mitigar.
Nuevos marcos legales como el General Data Protection Regulation (GDPR) de la Unión Europea
o la evolución de marcos ya existentes como el Payment Card Industry Data Security Standard
(PCI DSS) sobre la identificación de información personal (‘PII’: Personal Identifiable
Information), dificultan el uso de la Nube Pública para ciertos datos y aplicaciones.
Las Nubes Públicas ofrecen soluciones de seguridad que típicamente hacen frente únicamente a
riesgos específicos, pero difícilmente ofrecen una estrategia de securización unificada, donde
haya una coordinación entre las distintas soluciones de seguridad de manera que se ofrezca una
protección holística y eficiente que minimice las brechas de seguridad.
Una estrategia de seguridad unificada para las Nubes Públicas debe cubrir los siguientes rentos:
6
1.2 Nubes Públicas soportadas
Actualmente, FortiCWP se integra mediante APIs con AWS, AZURE y GOOGLE CLOUD.
1.3 Arquitectura
FortiCWP es una solución SaaS alojada en la Nube privada de Fortinet (FortiCloud), cuyo enlace
de acceso es:
https://www.forticwp.com/#/login
Una vez accedido a FortiCWP, por defecto se muestra el dashboard del módulo ‘Workload
Protection’, y para acceder al módulo de ‘Container Protection’ se requiere:
(el acceso por defecto al dashboard del módulo ‘Workload Protection’ o al de ‘Container
Protection’ es configurable mediante la opción ‘Set as Default Landing Page’ mostrada en la
captura de imagen anterior).
7
2 FortiCWP: Cloud Workload Protection
2.1.1 Dashboard
Dispone de un ‘Dashboard’ que muestra la siguiente información:
8
1: Categorización por Riesgo de los despliegues realizados en las principales Nubes
Públicas
2: Número de instancias desplegadas en cada Nube Pública clasificas por nivel de riesgo
3: Listado y clasificación de lo tipos de riesgo detectados en las distintas instancias
desplegadas en cada Nube Pública
4: Análisis de la evaluación del riesgo en el almacenamiento según los distintos tipos de
permisos asociados
5: Resumen de la cantidad de Malware detectado
6: Resumen del total de ficheros que infringen alguna de las políticas de ‘Data Analysis’
7: Resumen del total de alertas abiertas clasificadas por severidad
8: Tendencia del riesgo evaluado desde diversas perspectivas
9: Listado de los distintos tipos de recursos monitorizados y clasificación según su riesgo
detectado
10: Listado de las políticas de seguridad más utilizadas
2.1.2 Alertas:
La solución permite generar alertas customizadas según se determine en las políticas de
seguridad, y dispone de un menú que permite su visualización en base a:
9
Además, para cada alerta, se muestra también:
10
Figura 7 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Table View' (1)
Donde a nivel de cada recurso, se detalla también información relevante como se puede
observar a continuación:
Figura 8 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Table View' (2)
11
Figura 9 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Table View' (3)
Figura 10 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Table View' (4)
Figura 11 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Table View' (5)
12
Figura 12 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Table View' (6)
Figura 13 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Table View' (7)
Figura 14 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Table View' (8)
13
1: Tipo de cuenta de Nube Pública al que pertenece un recurso
2: Región geográfica donde se ha desplegado el recurso
3: Proyecto al que pertenece el recursos (filtro específico para recursos de GOOGLE
CLOUD)
4: Si el recurso ya ha sido eliminado o no
5: Búsqueda por el nombre o el ID del recurso
6: Búsqueda por tipo de recurso
7: Búsqueda por tipo de etiqueta (‘tag’) asignada al recurso
8: Búsqueda por el valor de la etiqueta (‘tag’) asignada al recurso
9: Búsqueda por parámetros clasificados automáticamente por FortiCWP
Figura 15 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Map View' (1)
14
Figura 16 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Map View' (2)
Figura 17 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Asset View' (1)
15
Figura 18 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Asset View' (2)
Figura 19 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Asset View'/CVEs
Figura 20 FortiCWP Workload Protection: Panel de Análisis de Recursos Desplegados - 'Attack Surface View'
16
2.1.4 Documentos almacenados:
En este menú se muestran todos los ficheros que FortiCWP está monitorizando. Se permite la
búsqueda de documentos filtrando por cuenta de Nube Pública (AWS, AZURE, GOOGLE CLOUD),
nombre de fichero, tipo de fichero (‘.txt’, ‘doc’, ‘.docx’, ‘.xls’, ‘pdf’) o incluso por contenedor (‘S3
Bucket’ de AWS, ‘Blob Container’ de AZURE, ‘Bucket’ de GOOGLE CLOUD):
Figura 21FortiCWP Workload Protection: Panel de Análisis de Documentos alojados en la Nube Pública
● ‘Clean Data’: Ficheros que no han violado ninguna de las políticas definidas en
FortiCWP
17
2.1.5 Monitorización y Trazabilidad de actividades realizadas por los usuarios:
Este menú dispone de un mapa que permite mostrar la geolocalización de eventos:
Figura 23 FortiCWP Workload Protection: Panel de Monitorización y Trazabilidad de Actividades de Usuario (tipos de
eventos)
Una actividad puede generar que distintas políticas se activen y generen a su vez distintas
alertas.
18
2.2 Asistente para maximizar la protección de los datos y la infraestructura
desplegados en la Nube Pública
FortiCWP proporciona de forma predefinida un conjunto de políticas de seguridad destinadas a
minimizar el riesgo de los datos alojados en la Nube Pública.
Para cada Nube Pública existen unas políticas de seguridad específicas para el análisis de riesgo,
y a continuación se listan las disponibles en cada caso:
2.2.1 Políticas predefinidas para el análisis de riesgo en entornos de AWS (un total de 140
políticas):
Access keys should be disabled for the root account CloudFront access logging should be enabled
Access keys should be rotated every 90 days Https-only traffic between CloudFront and viewers should be enforced
Password requirements should be enforced CloudFormation template should not have publicly accessible resources
MFA(Multi-factor Authentication) should be enabled on Root account CloudFormation stack should be integrated with SNS
MFA(Multi-factor authentication) should be enabled for IAM users Non-Web Ports should not be publicly accessible
Inactive IAM user over 90 days should be removed or disabled ACM Certificates with HeartBleed vulnerability need to be updated
IAM user should not have both console access and access keys ElasticSearch should not have open access policy
IAM user should not have more than one access key ElasticSearch domain should be put inside of VPC
ACM Certificate should be updated before it expires At least one IAM user should be assigned an access key
CloudTrail bucket should not be publicly accessible Administrator privilege should not be assigned to too many users
CloudTrail should be enabled across all regions Administrator privilege should not be assigned to too few users
CloudTrail log validation should be enabled S3-Delete permission should not be assigned to too many users
CloudTrail logs should be encrypted using Customer Master Keys IAM User should not have policy directly assigned
CloudTrail logs should be integrated with CloudWatch for all regions Unused access keys should be deleted
CloudTrail shouldn't stop logging Custom IAM policy should not be granted too many privileges
S3 buckets should have access logging enabled IAM support role or group should be created
CloudTrail buckets should have access logging enabled IAM Master and IAM Manager roles should be active
S3 buckets should not be publicly available KMS key should not be scheduled for deletion
EFS should restrict internet traffic Lambda functions should be encrypted with CMK
Only trusted AWS accounts should have access to Glacier RDS Retention Policies should meet best-practice of 7 days or more
RDS instances should be encrypted with customer managed keys RDS latest restorable time should not exceed 5 minutes
RDS instances should not be publicly accessible RDS event notification subscription should be enabled on each instance
RDS Security Group should not contain private IP addresses Redshift clusters should not be publicly accessible
RDS Security Group should not have large subnet Redshift clusters should be encrypted with customer managed keys
RDS Security Group should not have zero subnet SQS Server-Side Encryption should be enabled
RDS Security Group should restrict traffic SQS dead-letter queue should be created
RDS Security Group should not have 10.0.0.0/8 S3 Object Versioning should be enabled
Redshift database should use SSL for connections S3 buckets should have Server-Side Encryption enabled
Redshift database should enable audit logs EC2 instances should be deployed within VPCs
19
Redshift instances should be encrypted Default NACL should not be used for VPC subnet
Security Groups should block public traffic through RDP port (3389) Security groups applied on ELBs should restrict ingress traffic
Security Groups should block public traffic through SSH port (22) Customized VPC NACL should be created
Security groups should not allow all internet traffic without restriction The number of VPCs per region cannot exceed 5 by default
The number of Elastic IP addresses per region for EC2-VPC cannot exceed 5
Default Security Group should block all inbound traffic
by default
The number of Elastic IP addresses per region for EC2-Classic cannot exceed
VPC Flow Logs should be enabled
5 by default
VPC Flow log should be active The number of customer gateways per region cannot exceed 50 by default
ELB/ALB Logging should be enabled The number of VPN connections per region cannot exceed 50 by default
ELB/ALB SSL Listener should use the latest reference policy The number of security groups per VPC cannot exceed 500 by default
ELB/ALB should not have internet-facing scheme or contains ingress issues Unauthorized VPC peering connection should be prevented
ELB/ALB deletion protection should be enabled The number of private gateways per region cannot exceed 5 by default
EBS snapshots should not be publicly accessible The number of EC2 instances per region should not exceed the service limit
Only trusted AWS accounts should have access to EBS snapshots IAM groups and roles not in use should be deleted
Only trusted AWS accounts should have access to SQS RDS instances should be encrypted
SES identities should be verified EC2 Instances should block public traffic through RDP port (3389)
EBS volumes should be encrypted with customer managed keys EC2 Instances should block public traffic through SSH port (22)
Unattached EBS volumes need further actions EC2 Instances should not allow global permission to access Telnet port (23)
EBS volumes should have recent snapshots EC2 Instances should not allow global permission to access RPC port (135)
Security Groups should not allow global permission to access Telnet port (23) EC2 Instances should not allow global permission to access SMB port (445)
EC2 Instances should not allow global permission to access MySQL port
Security Groups should not allow global permission to access RPC port (135)
(3306)
EC2 Instances should not allow global permission to access MySQL port
Security Groups should not allow global permission to access SMB port (445)
(4333)
EC2 Instances should not allow global permission to access PostgreSQL port
Security Groups should not allow global permission to access MySQL port (3306)
(5432)
EC2 Instances should not allow global permission to access SQL Server port
Security Groups should not allow global permission to access MySQL port (4333)
(1433)
Security Groups should not allow global permission to access PostgreSQL port EC2 Instances should not allow global permission to access SQL Server port
(5432) (1434)
Security Groups should not allow global permission to access SQL Server port
EC2 Instances should not allow global permission to access VNC port (5500)
(1433)
Security Groups should not allow global permission to access SQL Server port
EC2 Instances should not allow global permission to access VNC port (5900)
(1434)
EC2 Instances should not allow global permission to access NetBIOS port
Security Groups should not allow global permission to access VNC port (5500)
(137)
EC2 Instances should not allow global permission to access NetBIOS port
Security Groups should not allow global permission to access VNC port (5900)
(138)
Security Groups should not allow global permission to access NetBIOS port (137) EC2 Instances should not allow global permission to access CIFS port (445)
Security Groups should not allow global permission to access NetBIOS port (138) EC2 Instances should not allow global permission to access FTP port (21)
EC2 Instances should not allow global permission to access FTP-Data port
Security Groups should not allow global permission to access CIFS port (445)
(20)
Security Groups should not allow global permission to access FTP port (21) EC2 Instances should not allow global permission to access SMTP port (25)
Security Groups should not allow global permission to access FTP-Data port (20) EC2 Instances should not allow global permission to access ICMP
Security Groups should not allow global permission to access SMTP port (25) EC2 Instances should not allow global permission to access DNS port (53)
EC2 Instances should not allow all internet traffic without restriction (Only
Security Groups should not allow global permission to access ICMP
apply to inbound traffic)
Security Groups should not allow global permission to access DNS port (53) EC2 Instances should not allow Non-Web Ports to be publicly accessible
20
Https-only traffic between CloudFront distribution and the origin should be
S3 buckets should not be publicly editable
enforced
CloudFront should use secure ciphers for distribution Abnormal EC2 Creation Alarm
Figura 24 FortiCWP Workload Protection: Políticas Predefinidas de Análisis de Riesgo para AWS
2.2.2 Políticas predefinidas para el análisis de riesgo en entornos de AZURE (un total de 66
políticas):
Config - SQLDB data transaction encryption should be enabled Security Configurations for virtual machines should be enabled
Endpoint protection recommendations for virtual machines
Config - SQLDB TDP detect all type threat
should be enabled
Disk encryption recommendations for virtual machines should be
Config - SQLDB audit retention days
enabled
Network security groups recommendations for virtual machines
Config - SQLDB traffic should be restricted
should be enabled
Network Security Groups should block public traffic through SSH port (22) Storage Encryption should be enabled
Network Security Groups should block public traffic through RDP port (3389) JIT Network Access for virtual machines should be enabled
Network Security Groups should block public traffic through Telnet port (23) The adaptive application controls should be enabled
Network Security Groups should block public traffic through VNC port (5500) Security contact email address should not be empty
Network Security Groups should block public traffic through VNC port (5900) Security alerts emailing to security contact should be enabled
Network Security Groups should block public traffic through SMB port (445) Security alerts emailing to owners should be enabled
Network Security Groups should block public traffic through RPC port (135) Config - SQLDB TDP should be enabled
Network Security Groups should block public traffic through DNS port (53) Config - SQLDB Auditing should be enabled
Azure virtual machines should block public traffic through RDP
Network Security Groups should block public traffic through FTP port (20)
port (3389)
Azure virtual machines should block public traffic through SSH
Network Security Groups should block public traffic through FTP port (21)
port (22)
Azure virtual machines should not allow global permission to
Network Security Groups should block public traffic through MySQL port (4333)
access RPC port (135)
Azure virtual machines should not allow global permission to
Network Security Groups should block public traffic through CIFS UDP port (445)
access SMB port (445)
Azure virtual machines should not allow global permission to
Network Security Groups should block public traffic through MySQL port (3306)
access MySQL port (3306)
Network Security Groups should block public traffic through NetBIOS UDP port Azure virtual machines should not allow global permission to
(137) access MySQL port (4333)
Network Security Groups should block public traffic through NetBIOS UDP port Azure virtual machines should not allow global permission to
(138) access PostgreSQL port (5432)
Azure virtual machines should not allow global permission to
Network Security Groups should block public traffic through PostgreSQL port (5432)
access SQL Server port (1433)
Azure virtual machines should not allow global permission to
Network Security Groups should block public traffic through SQL Server port (1433)
access SQL Server port (1434)
Azure virtual machines should not allow global permission to
Network Security Groups should block public traffic through SMTP port (25)
access VNC port (5500)
Azure virtual machines should not allow global permission to
Network Security Groups should enable the flow logs
access VNC port (5900)
Azure virtual machines should not allow global permission to
The flow logs retention day
access NetBIOS port (137)
Network Security Groups should not allow global permission to access SQL Server Azure virtual machines should not allow global permission to
port (1434) access NetBIOS port (138)
Azure virtual machines should not allow global permission to
Network watchers should be enabled
access CIFS port (445)
Azure virtual machines should not allow global permission to
VM disk should be encrypted
access FTP port (21)
Azure virtual machines should not allow global permission to
Storage account transit encryption should be enabled
access FTP-Data port (20)
Azure virtual machines should not allow global permission to
Storage account should be encrypted
access SMTP port (25)
Azure virtual machines should not allow global permission to
Storage accounts containers should be private
access ICMP
21
Azure virtual machines should not allow global permission to
Redis connect access should via SSL
access DNS port (53)
Azure virtual machines should not allow all internet traffic
Automatic provisioning of monitoring agent should be enabled
without restriction (Only apply to inbound traffic)
Azure virtual machines should not allow Non-Web Ports to be
System updates recommendations for virtual machines should be enabled
publicly accessible
Figura 25 FortiCWP Workload Protection: Políticas Predefinidas de Análisis de Riesgo para AZURE
2.2.3 Políticas predefinidas para el análisis de riesgo en entornos de GOOGLE CLOUD (un total
de 52 políticas):
Cloud KMS key rotation should be enabled Cloud SQL DB Instance backup configuration should be enabled
App Engine SSL Certificates should be updated before it expires Cloud SQL DB instance should have Label
Compute Engine Load balancer should not have internet-facing scheme or
Compute Engine VM Instances should have Custom metadata information
contains ingress issues
Firewall rules should block public traffic through RDP port (3389) Compute Engine VM Instances should have Label information
Compute engine instance should block public traffic through RDP port
Firewall rules should not allow all internet traffic without restriction
(3389)
Firewall rules should block public traffic through SSH port (22) Compute engine instance should block public traffic through SSH port (22)
Compute engine instance should block public traffic through Telnet port
Cloud Storage buckets should not be publicly available
(23)
Only trusted Google Cloud accounts should have access to Storage Compute engine instance should block public traffic through RPC port
Nearline (135)
Compute engine instance should block public traffic through SMB port
Firewall rules should restrict ZFS internet traffic
(445)
Compute engine instance should block public traffic through MySQL port
Authorized networks of Cloud SQL DB instances should restrict traffic
(3306)
Authorized networks of Cloud SQL DB instances should not have zero Compute engine instance should block public traffic through MySQL port
subnet (4333)
Authorized networks of Cloud SQL DB instances should not have large Compute engine instance should block public traffic through PostgreSQL
subnet port (5432)
Compute engine instance should block public traffic through SQL Server
Firewall rules should not have any rules (except http and https)
port (1433)
Compute engine instance should block public traffic through SQL Server
Firewall rules should not allow global permission to access DNS port (53)
port (1434)
Compute engine instance should block public traffic through VNC port
Firewall rules should not allow global permission to access FTP port (21)
(5500)
Compute engine instance should block public traffic through VNC port
Firewall rules should not allow global permission to access HTTP port (80)
(5900)
Compute engine instance should block public traffic through NetBIOS port
Firewall rules should not allow global permission to access SMB port (445)
(137)
Firewall rules should not allow global permission to access MongoDB port Compute engine instance should block public traffic through NetBIOS port
(27017) (138)
Firewall rules should not allow global permission to access MySQL port Compute engine instance should block public traffic through CIFS port
(3306) (445)
Firewall rules should not allow global permission to access NetBIOS port
Compute engine instance should block public traffic through FTP port (21)
(139)
Firewall rules should not allow global permission to access Oracle DB port Compute engine instance should block public traffic through FTP-Data port
(1521) (20)
Compute engine instance should block public traffic through SMTP port
Firewall rules should not allow global permission to access POP3 port (110)
(25)
Firewall rules should not allow global permission to access PostgreSQL port
Compute engine instance should block public traffic through ICMP
(5432)
Firewall rules should not allow global permission to access SMTP port (25) Compute engine instance should block public traffic through DNS port (53)
Compute engine instance should not allow all internet traffic without
Firewall rules should not allow global permission to access Telnet port (23)
restriction (Only apply to inbound traffic)
Compute engine instance should not allow Non-Web Ports to be publicly
Cloud SQL DB Instance backup Binary logs configuration should be enabled
accessible
Figura 26 FortiCWP Workload Protection: Políticas Predefinidas de Análisis de Riesgo para GOOGLE CLOUD
22
2.2.4 Políticas customizadas para el análisis de riesgo
Existe también la posibilidad de definir políticas de análisis de riesgo customizadas, que
consisten en la definición de un patrón de código al que se le determina un determinada
severidad.
23
2.3 Detección y Respuesta frente amenazas en los datos alojados en la Nube
Pública
2.3.1 Ransomware y Malware
FortiCWP mitiga los riesgos asociados al Ransomware y al malware potencialmente
almacenado en la Nube Pública. El servicio automáticamente incluye las firmas de antivirus de
FortiGuard para escanear los datos almacenados en la Nube Pública, y permite la integración con
FortiSandBox-Cloud para mejorar la protección de los datos de amenazas ‘zero-day’.
Figura 28 FortiCWP Workload Protection: Políticas de 'Data Analysis' para el escaneo automático de Malware
Figura 29 FortiCWP Workload Protection: Políticas de 'Data Analysis' para el escaneo automático de ficheros
encriptados por Ransomware
24
Figura 30 FortiCWP Workload Protection: Políticas disponibles de ‘Threat Protection’
25
Figura 32 FortiCWP Workload Protection: Análisis de los Flujos de Tráfico
26
2.4 DLP (Data Leak Prevention)
2.4.1 Políticas predefinidas para DLP
FortiCWP dispone de políticas predefinidas de DLP para ayudar a las organizaciones a
mitigar el riesgo de exponer a terceros información sensible no autorizada:
Figura 33 FortiCWP Workload Protection: Políticas Predefinidas para combatir la Fuga de Datos
Figura 34 FortiCWP Workload Protection: Información mostrada sobre la detección de Fuga de Datos de un Fichero
27
2.4.2 Políticas customizadas de DLP
Existe también la posibilidad de definir políticas de DLP customizadas, que consisten en:
2.4.2.1 La definición de un patrón de Datos
Figura 35 FortiCWP Workload Protection: Definición de un 'Data Pattern' para definir políticas customizadas de DLP
28
2.5 Compliance de Best Practices de Seguridad en la Nube Pública
La solución incluye las siguientes de políticas de compliance alineadas con los principales
estándares (SOX-COBIT, PCI-DSS, HIPAA, GDPR, NIST SP 800-53 rev4, NIST SP 800-171 y ISO
27001).
2.5.1 Políticas de Compliance SOX-COBIT:
29
2.5.3 Políticas de Compliance HIPAA:
30
2.5.5 Políticas de Compliance NIST SP 800-53 rev4 :
Figura 41 FortiCWP Workload Protection: Políticas de Compliance NIST SP 800-53 rev4 (1)
Figura 42 FortiCWP Workload Protection: Políticas de Compliance NIST SP 800-53 rev4 (2)
31
Figura 43 FortiCWP Workload Protection: Políticas de Compliance NIST SP 800-53 rev4 (3)
32
2.5.7 Políticas de Compliance ISO 27001:
33
2.6 Reporting
2.6.1 C-Level
Este informe ofrece una vista de alto nivel de la situación de las diferentes Nubes Públicas
integradas dentro de la plataforma en periodos mensuales, trimestrales o anuales. El formato es
muy visual buscando no tanto el detalle sino la visión general del estado de la organización.
34
Figura 49 FortiCWP Workload Protection: Ejemplo de informe C-Level (Recursos)
35
Figura 52 FortiCWP Workload Protection: Ejemplo de informe C-Level (Countries)
2.6.2 Compliance
Los informes de Compliance permiten evaluar el nivel de cumplimiento que el uso de cada una
de las aplicaciones está ofreciendo.
Para ello se permite definir la normativa aplicable, la aplicación a analizar y el periodo del análisis
obteniendo como resultado completos informes que incluyen tanto un fichero PDF con el
resumen de los diferentes hallazgos como ficheros .csv con un detalle de cada uno de estos
hallazgos:
Figura 53 FortiCWP Workload Protection: Ejemplo parcial de informe de compliance GDPR
36
2.6.3 Alertas y Actividad
Tanto el informe de alertas como el de actividad permiten llevar a cabo una exportación con las
diferentes alertas y toda la actividad generada mensualmente en las distintas Nubes Públicas,
recibiendo una exportación basada en un fichero .csv.
2.7.2.1 Basic:
o Subscripción FortiCWP Cloud Storage Protection, Basic, para 100GB data:
‘FC-10-FCWPS-316-02-DD’
2.7.2.2 Advanced
Este nivel de servicio añade sobre el ‘Basic’ las capacidades de DLP. Los SKUs son:
o Subscripción FortiCWP Cloud Storage Protection, Advanced, para 100GB data:
‘FC-10-FCWPS-317-02-DD’
37
3 FortiCWP: Cloud Container Protection
…donde:
2. Muestra un listado del número de políticas de compliance incumplidas para cada clúster
de Kubernetes definido
3. Presenta una clasificación de todas las imágenes detectadas en los repositorios según:
a. Los tipos de riesgo (‘Critical/High/Medium/Low/Info’)
b. El tipo de plataforma de registro donde se encuentran
c. El tipo de sistema operativo
4. Muestra un listado de los ‘TOP 10’ CVEs detectados en las imágenes de los repositorios
5. Presenta un ‘overview’ del estado de las políticas de compliance de los ‘TOP 10’ clúster
de Kubernetes que no cumplen en alguna de dichas políticas
38
3.1.2 Container Visibility
En este menú se muestran los distintos clústeres de Kubernetes analizados por FortiCWP
Container Protection, donde para clúster se detalla:
● El número de nodos que forman el cluster
● El estado del Kubernetes Agent
● El número de imágenes registradas y indicadores de su riesgo
● El número de policies del CIS Benchmark que se cumplen
Si se accede al menú ‘View Container Visibility’ de cada clúster, se representan gráficamente los
distintos componentes que forman el clúster y sus flujos de tráfico
39
Es posible ‘clickar’ sobre cualquier pod para obtener información detallada del recurso como:
● Los valores de ‘Replica’
● El tiempo que lleva operativo
● Las etiquetas (‘Labels’) asignadas
● La imagen que está utilizando
● El detalle de los flujos de tráfico tanto entrantes como salientes de pod en cuestión
Figura 57 FortiCWP Container Protection - Container Visibility (Información detallada del Pod)
40
Figura 58 Figura 57 FortiCWP Container Protection - Container Visibility (Detalle de las Labels asignadas al Pod)
41
Figura 59 Figura 57 FortiCWP Container Protection - Container Visibility (Detalle del flujo de tráfico del Pod)
42
Figura 60 FortiCWP Container Protection - Container Visibility (Conexiones externas contra IPs públicas sospechosas)
43
Figura 61 FortiCWP Container Protection - Container Visibility (Detalle de las IPs públicas sospechosas)
Figura 62 FortiCWP Container Protection - Análisis del Riesgo y Vulnerabilidades en repositorios de imágenes
44
Es posible determinar las distintas vulnerabilidades detectadas en cada imagen, incluso con su
CVE asociado:
Figura 63 FortiCWP Container Protection - Análisis del Riesgo y Vulnerabilidades en una imagen
…y también es posible listar todas las vulnerabilidades detectadas por FortiCWP Container
Protection y ver qué imágenes se han detectado:
Figura 64 FortiCWP Container Protection - Análisis del Riesgo y Vulnerabilidades (listado de CVEs)
45
3.3 Automatización de la Seguridad e Integración con herramientas de CI/CD
(Jenkins)
La solución permite integrarse con Jenkins y definir una política donde las compilaciones de
código se bloqueen automáticamente en base a la configuración que se aplique en la política con
respecto al número de vulnerabilidades encontradas:
Figura 65 FortiCWP Container Protection - Política de integración con entorno de CI/CD (Jenkins)
Des de el menú ‘FortiView->Compliance’ es posible ver el resultado del ‘CIS Benchmark’ de cada
clúster de Kubernetes:
Figura 66 FortiCWP Container Protection - FortiView Compliance (resultado 'CIS Benchmark' general)
46
Incluyendo el detalle del resultado por cada clúster de Kubernetes:
Figura 67 FortiCWP Container Protection - FortiView Compliance (resultado 'CIS Benchmark' detallado por clúster de
Kubernetes)
47
3.6 Licenciamiento (módulo Container Protection):
El módulo Container Protection se licencia teniendo en cuenta los siguientes dos factores:
3.6.2.1 Basic:
o Subscripción FortiCWP Cloud Storage Protection, Basic, para 100GB data:
‘FC-10-FCWPS-316-02-DD’
3.6.2.2 Advanced
Este nivel de servicio añade sobre el ‘Basic’ las capacidades de DLP. Los SKUs son:
o Subscripción FortiCWP Cloud Storage Protection, Advanced, para 100GB data:
‘FC-10-FCWPS-317-02-DD’
48