1) Mejores prácticas generales

• Involucrar la seguridad de la información a lo largo de su proceso de desarrollo en lugar de en ciertos puntos
• Se debe minimizar la cantidad de grupos de seguridad discretos
• Rote periódicamente las claves SSH
• Utilice una convención de nomenclatura / etiquetado estándar para todos los recursos
• Implementar una política estricta de contraseñas
• Purgar las claves públicas SSH no utilizadas

2) Cómo configurar cuentas

• Utilice la autenticación multifactor para la cuenta “raíz”
• El uso regular de las cuentas de usuario root debe limitarse e incluso evitarse
• Las claves de acceso no deben usarse con cuentas root
• Se debe otorgar el acceso con menos privilegios a los usuarios de la aplicación tanto como sea posible

3) Cómo debería funcionar la configuración de IAM

• Configure siempre la autenticación multifactor para los usuarios de IAM
• Permitir a los usuarios de IAM el acceso multimodo
• Vincular políticas de IAM a grupos o roles
• Rote regularmente las claves de acceso de IAM y estandarice la cantidad de días seleccionada
• Otorgar acceso a los recursos mediante roles de IAM
• Mantenga baja la cantidad de grupos de IAM
• Deshabilitar el acceso para usuarios de IAM inactivos
• Eliminar las claves de acceso de IAM inactivas

4) Cómo utilizar los servicios de registro

• Habilite el registro de CloudTrail en todos los servicios web de Amazon que utiliza su organización
• Permitir el registro de múltiples regiones de CloudTrail
• Permitir el registro de acceso para Elastic Load Balancer Service (ELB)
• Permitir el registro de auditoría de Redshift
• Establecer la validación del archivo de registro de CloudTrail
• Permitir el registro de flujo de la nube privada virtual (VPC)
• Permitir el registro de acceso para los buckets de CloudTrail S3
• Combine el registro de CloudTrail con los eventos de CloudWatch
• Cifre los archivos de registro de CloudTrail en reposo

5) Aplicación de las mejores prácticas de desarrollo

• Use la autenticación multifactor (MFA) para eliminar los depósitos de CloudTrail
• Los certificados SSL / TLS caducados nunca deben usarse
• Utilice siempre HTTPS para distribuciones de CloudFront
• Su base de datos de Elastic Block Store (EBS) debe estar cifrada
• Restrinja el acceso a puertos conocidos como CIFS, FTP, ICMP, SMTP, SSH, escritorio remoto No permita el acceso de entrada sin restricciones en diferentes puertos También a recursos como: AMI (imágenes de máquinas de Amazon), grupos de seguridad EC2, clústeres de Redshift, instancias de RDS y, en general, todas las llamadas salientes.
• Permita el parámetro require_ssl en todos sus clústeres de Redshift

6) Mejores prácticas de seguridad de datos

• Cifre siempre datos confidenciales como información de identificación personal (PII) o información de salud protegida (PHI)
• Cifre correctamente el servicio de base de datos relacional de Amazon (RDS)