Cómo crear políticas personalizadas de postura de seguridad en la nube

7 de abril de 2022

Falcon Horizon, la solución de gestión de la postura de seguridad en la nube de CrowdStrike, utiliza políticas de configuración y comportamiento para monitorear las implementaciones de la nube pública, identificar problemas de manera proactiva y resolver posibles problemas de seguridad. Sin embargo, los clientes no están limitados a políticas predefinidas. Este artículo revisará las diferentes opciones para crear políticas personalizadas de gestión de posturas de seguridad en la nube en Falcon Horizon.



El panel principal de Falcon Horizon ilustra una descripción general de los hallazgos recientes en todas las cuentas y proveedores de nube registrados.

Esos hallazgos se basan en la configuración de la política. La pestaña "Políticas" muestra opciones completas, categorizadas por proveedor y servicio, para monitorear configuraciones incorrectas en la nube y comportamientos maliciosos. En este ejemplo del servicio S3 de Amazon, hay varias opciones de políticas para ambas categorías. Falcon Horizon también proporciona la funcionalidad para crear políticas personalizadas ajustadas para satisfacer mejor las necesidades de una organización.

Desde la pestaña "Políticas" en "Postura de seguridad en la nube", hay una opción para crear una "Nueva política personalizada".

Un asistente guiará la creación de la nueva política. El primer paso es elegir el proveedor de nube correspondiente.

A continuación, se asignan un nuevo nombre, descripción y gravedad de la política. En el siguiente ejemplo, esta política personalizada de identidad de Azure tiene una gravedad media.

Para crear una nueva política desde cero, el siguiente paso es elegir un tipo de activo que corresponda al servicio en la nube. El siguiente ejemplo muestra un tipo de activo de usuario de AD. (La opción de seleccionar una política de referencia se tratará en "Modificar políticas existentes").

Una vez seleccionado el tipo de activo, se pueden agregar filtros y condiciones. Agregar reglas basadas en cualquier cantidad de criterios adicionales, incluidas cuentas, grupos o inquilinos específicos, hace que la nueva política sea más específica. A continuación se muestra una política que busca cuentas habilitadas donde las credenciales que no están registradas para MFA, pero la credencial en sí sí están habilitadas.

En muchas situaciones, puede resultar útil comenzar con una regla existente y realizar cambios o adiciones. Hay dos formas diferentes de abordar esto en la interfaz de usuario. De la lista de políticas, algunas políticas incluyen un enlace "Clonar". La clonación de una política transferirá todos los detalles de la política y el cumplimiento, al tiempo que permitirá cambios en los criterios de la regla.

Alternativamente, al seleccionar la opción "Nueva política personalizada" se presentarán opciones para el proveedor de nube correspondiente.

A continuación, se le solicita que ingrese un nombre de política personalizado y una gravedad antes de seleccionar el servicio en la nube apropiado. La siguiente pantalla incluye dos opciones principales. Como se muestra arriba, seleccionar un tipo de activo es el primer paso para crear una política en blanco. Por el contrario, elegir comenzar con una política de referencia existente replicará esa política y la lógica de consulta asociada (que se muestra a continuación para AWS EC2).

Una vez seleccionada la política clonada o de referencia, existen varias opciones para realizar cambios. Los campos y operaciones existentes se pueden editar. Si bien el icono de la papelera ofrece la opción de eliminar criterios, también se pueden agregar nuevos criterios utilizando cualquier número de campos. En el siguiente ejemplo, se pueden agregar o eliminar puertos considerados de alto riesgo. Se agregó una regla para el nombre de la etiqueta para garantizar que esta regla se active cada vez que se permita el ingreso público en puertos de alto riesgo a sistemas con una etiqueta NO igual a "prueba".

La opción resaltada "Probar regla personalizada" arriba proporciona una vista previa de cómo funcionará esa regla en el entorno.

Después de guardar los filtros de políticas personalizados, existen opciones para asignar esa política a los controles de cumplimiento. Si bien las políticas clonadas ya incluirán asociaciones de cumplimiento, estas también se pueden modificar según sea necesario.

Cuando se utiliza una línea de base de política o se comienza desde cero, el siguiente paso presentará opciones de menú para el cumplimiento. Se pueden seleccionar los marcos de cumplimiento integrados de CrowdStrike, pero también existe la opción de "Agregar nuevo cumplimiento".

Al completar solo unos pocos campos, las políticas se pueden asociar a un punto de referencia personalizado o marcos de cumplimiento que actualmente no están incorporados a la plataforma.

Una vez que se haya guardado el requisito, aparecerá en el menú desplegable para que la versión, la sección y el requisito se puedan asignar con la política personalizada antes de guardarlos.

Después del cumplimiento del mapeo, el siguiente paso es guardar la política.

Las nuevas políticas aparecerán en la pestaña "Políticas" como políticas personalizadas. Los botones en la parte superior hacen girar la pantalla entre políticas predeterminadas y personalizadas para cada servicio.

Con las políticas predeterminadas y personalizadas implementadas, las evaluaciones se realizan en intervalos regulares y configurables. Los resultados de la evaluación se pueden filtrar para concentrarse rápidamente en una gravedad, cuenta, región, servicio o tipo específico. Además, se utiliza una bandera "personalizada" junto al nombre de la política para ayudar a identificar esas políticas personalizadas.

A medida que las organizaciones continúan implementando datos y aplicaciones de misión crítica en la nube, es fundamental que esos recursos estén configurados y protegidos adecuadamente. Además de monitorear las implementaciones de múltiples nubes para detectar comportamientos y configuraciones incorrectas, Falcon Horizon permite a los clientes crear políticas personalizadas que satisfagan mejor sus necesidades organizativas y de cumplimiento.