Skip to content

Commit

Permalink
update content
Browse files Browse the repository at this point in the history
  • Loading branch information
htrgouvea committed Feb 18, 2024
1 parent d8d546b commit 37ccc82
Show file tree
Hide file tree
Showing 16 changed files with 254 additions and 134 deletions.
87 changes: 81 additions & 6 deletions templates/1.yml
Original file line number Diff line number Diff line change
Expand Up @@ -6,12 +6,87 @@ vulnerability:
type: cloud
category: Other
description:
pt-br:
en:
es:
pt-br: O Amazon Elastic Block Store (EBS) oferece volumes de armazenamento de bloco para uso com instâncias do Amazon EC2. Os volumes EBS são altamente disponíveis e confiáveis. Eles são armazenados de forma redundante em vários dispositivos em vários racks de um único data center e são projetados para serem duráveis, independentemente do tipo de instância do EC2 em que são montados. No entanto, os volumes EBS não são criptografados por padrão. Isso significa que, se um invasor obtiver acesso ao volume EBS, ele poderá acessar os dados armazenados nele. Para proteger os dados armazenados em volumes EBS, é recomendável criptografar os volumes EBS.
en: Amazon Elastic Block Store (EBS) provides block storage volumes for use with Amazon EC2 instances. EBS volumes are highly available and reliable. They are stored redundantly across multiple devices in multiple racks in a single data center and are designed to be durable, regardless of the EC2 instance type to which they are attached. However, EBS volumes are not encrypted by default. This means that if an attacker gains access to the EBS volume, they can access the data stored on it. To protect the data stored on EBS volumes, it is recommended to encrypt the EBS volumes.
es: Amazon Elastic Block Store (EBS) proporciona volúmenes de almacenamiento de bloques para su uso con instancias de Amazon EC2. Los volúmenes EBS son altamente disponibles y confiables. Se almacenan de forma redundante en varios dispositivos en varios racks en un único centro de datos y están diseñados para ser duraderos, independientemente del tipo de instancia de EC2 a la que estén adjuntos. Sin embargo, los volúmenes EBS no están encriptados de forma predeterminada. Esto significa que si un atacante obtiene acceso al volumen EBS, puede acceder a los datos almacenados en él. Para proteger los datos almacenados en los volúmenes EBS, se recomienda encriptar los volúmenes EBS.
recommendation:
pt-br:
en:
es:
pt-br: |
Para criptografar um volume EBS existente, siga as etapas abaixo:
1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
2. No painel de navegação, escolha Volumes.
3. Selecione o volume EBS que deseja criptografar.
4. Escolha Actions, Modify Volume.
5. No campo Encryption, selecione o tipo de chave que deseja usar para criptografar o volume.
6. Escolha Modify.
7. Selecione o volume EBS e escolha Actions, Create Snapshot.
8. No campo Encryption, selecione o tipo de chave que deseja usar para criptografar o snapshot.
9. Escolha Create Snapshot.
10. No painel de navegação, escolha Snapshots.
11. Selecione o snapshot que você acabou de criar.
12. Escolha Actions, Copy.
13. No campo Encryption, selecione o tipo de chave que deseja usar para criptografar o snapshot.
14. Escolha Copy.
15. No painel de navegação, escolha Snapshots.
16. Selecione o snapshot que você acabou de criar.
17. Escolha Actions, Create Volume.
18. No campo Encryption, selecione o tipo de chave que deseja usar para criptografar o volume.
19. Escolha Create Volume.
20. No painel de navegação, escolha Volumes.
21. Selecione o volume EBS que você acabou de criar.
22. Escolha Actions, Attach Volume.
23. Selecione a instância EC2 à qual deseja anexar o volume.
24. Escolha Attach.
en: |
To encrypt an existing EBS volume, follow the steps below:
1. Open the Amazon EC2 console at https://console.aws.amazon.com/ec2/.
2. In the navigation pane, choose Volumes.
3. Select the EBS volume that you want to encrypt.
4. Choose Actions, Modify Volume.
5. In the Encryption field, select the type of key that you want to use to encrypt the volume.
6. Choose Modify.
7. Select the EBS volume and choose Actions, Create Snapshot.
8. In the Encryption field, select the type of key that you want to use to encrypt the snapshot.
9. Choose Create Snapshot.
10. In the navigation pane, choose Snapshots.
11. Select the snapshot that you just created.
12. Choose Actions, Copy.
13. In the Encryption field, select the type of key that you want to use to encrypt the snapshot.
14. Choose Copy.
15. In the navigation pane, choose Snapshots.
16. Select the snapshot that you just created.
17. Choose Actions, Create Volume.
18. In the Encryption field, select the type of key that you want to use to encrypt the volume.
19. Choose Create Volume.
20. In the navigation pane, choose Volumes.
21. Select the EBS volume that you just created.
22. Choose Actions, Attach Volume.
23. Select the EC2 instance to which you want to attach the volume.
24. Choose Attach.
es: |
Para encriptar un volumen EBS existente, siga los pasos a continuación:
1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.
2. En el panel de navegación, elija Volumes.
3. Seleccione el volumen EBS que desea encriptar.
4. Elija Actions, Modify Volume.
5. En el campo Encryption, seleccione el tipo de clave que desea usar para encriptar el volumen.
6. Elija Modify.
7. Seleccione el volumen EBS y elija Actions, Create Snapshot.
8. En el campo Encryption, seleccione el tipo de clave que desea usar para encriptar el snapshot.
9. Elija Create Snapshot.
10. En el panel de navegación, elija Snapshots.
11. Seleccione el snapshot que acaba de crear.
12. Elija Actions, Copy.
13. En el campo Encryption, seleccione el tipo de clave que desea usar para encriptar el snapshot.
14. Elija Copy.
15. En el panel de navegación, elija Snapshots.
16. Seleccione el snapshot que acaba de crear.
17. Elija Actions, Create Volume.
18. En el campo Encryption, seleccione el tipo de clave que desea usar para encriptar el volumen.
19. Elija Create Volume.
20. En el panel de navegación, elija Volumes.
21. Seleccione el volumen EBS que acaba de crear.
22. Elija Actions, Attach Volume.
23. Seleccione la instancia EC2 a la que desea adjuntar el volumen.
24. Elija Attach.
references:
- https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html
12 changes: 6 additions & 6 deletions templates/10.yml
Original file line number Diff line number Diff line change
Expand Up @@ -6,13 +6,13 @@ vulnerability:
type: cloud
category: Other
description:
pt-br:
en:
es:
pt-br: A exposição desnecessária de serviços em ambientes de homologação podem apresentar riscos desde vazamento de informações como funcionalidades que ainda não foram anunciadas para o mercado como possibilidade de serviços que não possuem os mesmos controles de segurança do ambiente produtivo.
en: The unnecessary exposure of services in staging environments can present risks from information leakage to features that have not yet been announced to the market as a possibility of services that do not have the same security controls as the production environment.
es: La exposición innecesaria de servicios en entornos de homologación puede presentar riesgos desde la fuga de información hasta características que aún no se han anunciado en el mercado como la posibilidad de servicios que no tienen los mismos controles de seguridad que el entorno de producción.
recommendation:
pt-br:
en:
es:
pt-br: É fortemente recomendado que para acessar os ativos nesse ambiente seja necessário fazer o uso de VPNs pois se tratam de ativos sensíveis e ainda em fase de testes. Se VPN não for uma possibilidade, outro possível caminho é fazer restrições aos IPs específicos das pessoas que precisam fazer o uso.
en: It is strongly recommended that to access the assets in this environment it is necessary to use VPNs as they are sensitive assets and still in the testing phase. If VPN is not a possibility, another possible path is to restrict to the specific IPs of the people who need to use it.
es: Es muy recomendable que para acceder a los activos en este entorno sea necesario utilizar VPN, ya que son activos sensibles y aún están en fase de pruebas. Si VPN no es una posibilidad, otro posible camino es restringir a las IPs específicas de las personas que necesitan usarlo.
references:
- https://owasp.org/Top10/A05_2021-Security_Misconfiguration/
- https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html
36 changes: 30 additions & 6 deletions templates/11.yml
Original file line number Diff line number Diff line change
Expand Up @@ -6,12 +6,36 @@ vulnerability:
type: cloud
category: Other
description:
pt-br:
en:
es:
pt-br: |
O CloudTrail é um recurso importante nas contas AWS, isso se dá ao fato que ele registra todos os eventos na API da AWS e permite auditorias e também investigações em casos de incidentes. Mas foi possível notar que na lista um dos recursos tem o atributo “LogFileValidationEnabled” desativado.
O recurso LogFileValidationEnabled (Habilitar validação de integridade de arquivos de log) no AWS CloudTrail se refere a uma opção que permite a validação da integridade dos arquivos de log gerados pelo CloudTrail. Quando ativado, esse recurso verifica a integridade dos arquivos de log para garantir que eles não tenham sido modificados ou corrompidos após a sua criação. Isso ajuda a manter a integridade e a confiabilidade dos registros de auditoria no CloudTrail.
A validação de integridade dos arquivos de log é uma prática importante para fins de segurança e conformidade, pois garante que os registros de auditoria não tenham sido adulterados ou manipulados por terceiros maliciosos ou acidentalmente devido a falhas de armazenamento ou transferência.
Quando você habilita a validação de integridade de arquivos de log, o CloudTrail usará algoritmos de hash para calcular resumos (hashes) dos arquivos de log e, em seguida, comparará esses hashes com os valores esperados. Se houver qualquer discrepância ou sinal de que um arquivo de log foi alterado, isso será detectado e registrado.
Ativar a validação de integridade de arquivos de log é uma prática recomendada para garantir a confiabilidade dos registros de auditoria no ambiente da AWS. No entanto, lembre-se de que essa função pode consumir recursos adicionais, como tempo de CPU, durante a geração e a verificação dos hashes, portanto, avalie os requisitos e impactos específicos para sua conta e aplicação antes de ativá-la.
Sem essa opção ativa, as chances podem aumentar drasticamente de um defeito afetar a integridade dos logs e o problema só ser descoberto quando uma real necessidade aparecer para que o log seja usado. Correndo o risco de que não seja possível fazer essa utilização.
en: |
CloudTrail is an important feature in AWS accounts, as it records all events in the AWS API and allows audits and investigations in case of incidents. But it was possible to notice that in the list one of the resources has the attribute "LogFileValidationEnabled" disabled.
The LogFileValidationEnabled feature in AWS CloudTrail refers to an option that allows the validation of the integrity of the log files generated by CloudTrail. When enabled, this feature checks the integrity of the log files to ensure that they have not been modified or corrupted after their creation. This helps maintain the integrity and reliability of audit logs in CloudTrail.
Log file integrity validation is an important practice for security and compliance purposes, as it ensures that audit logs have not been tampered with or manipulated by malicious third parties or accidentally due to storage or transfer failures.
When you enable log file integrity validation, CloudTrail will use hash algorithms to calculate digests (hashes) of the log files and then compare these hashes with the expected values. If there is any discrepancy or sign that a log file has been altered, this will be detected and recorded.
Enabling log file integrity validation is a recommended practice to ensure the reliability of audit logs in the AWS environment. However, keep in mind that this feature can consume additional resources, such as CPU time, during the generation and verification of hashes, so evaluate the specific requirements and impacts for your account and application before enabling it.
Without this option active, the chances can dramatically increase that a defect will affect the integrity of the logs and the problem will only be discovered when a real need arises for the log to be used. Running the risk that it may not be possible to make this use.
es: |
CloudTrail es una característica importante en las cuentas de AWS, ya que registra todos los eventos en la API de AWS y permite auditorías e investigaciones en caso de incidentes. Pero fue posible notar que en la lista uno de los recursos tiene el atributo "LogFileValidationEnabled" deshabilitado.
El recurso LogFileValidationEnabled en AWS CloudTrail se refiere a una opción que permite la validación de la integridad de los archivos de registro generados por CloudTrail. Cuando está habilitada, esta función verifica la integridad de los archivos de registro para asegurarse de que no hayan sido modificados o corrompidos después de su creación. Esto ayuda a mantener la integridad y confiabilidad de los registros de auditoría en CloudTrail.
La validación de la integridad del archivo de registro es una práctica importante para fines de seguridad y cumplimiento, ya que garantiza que los registros de auditoría no hayan sido manipulados o manipulados por terceros malintencionados o accidentalmente debido a fallas de almacenamiento o transferencia.
Cuando habilita la validación de la integridad del archivo de registro, CloudTrail utilizará algoritmos hash para calcular resúmenes (hashes) de los archivos de registro y luego comparará estos hashes con los valores esperados. Si hay alguna discrepancia o señal de que un archivo de registro ha sido alterado, esto se detectará y registrará.
Habilitar la validación de la integridad del archivo de registro es una práctica recomendada para garantizar la confiabilidad de los registros de auditoría en el entorno de AWS. Sin embargo, tenga en cuenta que esta función puede consumir recursos adicionales, como tiempo de CPU, durante la generación y verificación de hashes, por lo que evalúe los requisitos específicos y los impactos para su cuenta y aplicación antes de habilitarla.
Sin esta opción activa, las posibilidades pueden aumentar drásticamente de que un defecto afecte la integridad de los registros y el problema solo se descubrirá cuando surja una necesidad real de que se utilice el registro. Corriendo el riesgo de que no sea posible hacer este uso.
recommendation:
pt-br:
en:
es:
pt-br: |
Para ativar essa opção pode ser utilizado o comando:
$ aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation
en: |
To enable this option, the command can be used:
$ aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation
es: |
Para habilitar esta opción, se puede utilizar el comando:
$ aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation
references:
- https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html
6 changes: 3 additions & 3 deletions templates/12.yml
Original file line number Diff line number Diff line change
Expand Up @@ -6,9 +6,9 @@ vulnerability:
type: cloud
category: Other
description:
pt-br:
en:
es:
pt-br: Checando a política de senhas aplicada a conta em questão, é perceptível que a mesma já encontra em um nível de maturidade super interessante pois tem todos os recursos disponíveis habilitados como prevenção de reuso de senha, tempo de expiração e demais. No entanto o comprimento/tamanho mínimo exigido para as senhas é curto, de apenas 8 caracteres. Quanto menor for uma senha, menor será a complexidade da mesma, diminuindo assim o esforço para N tipos de ataques. Esse fato faz com a possibilidade da execução de alguns ataques fiquem viáveis, aumentando o risco para a conta.
en: Checking the password policy applied to the account in question, it is noticeable that it is already at a very interesting maturity level because it has all the available resources enabled such as prevention of password reuse, expiration time and others. However, the minimum length required for passwords is short, only 8 characters. The shorter a password, the less complex it will be, thus reducing the effort for N types of attacks. This fact makes the possibility of executing some attacks viable, increasing the risk for the account.
es: Al verificar la política de contraseñas aplicada a la cuenta en cuestión, es evidente que ya se encuentra en un nivel de madurez muy interesante porque tiene todos los recursos disponibles habilitados, como la prevención de la reutilización de contraseñas, el tiempo de expiración y otros. Sin embargo, la longitud mínima requerida para las contraseñas es corta, solo 8 caracteres. Cuanto más corta sea una contraseña, menos compleja será, reduciendo así el esfuerzo para N tipos de ataques. Este hecho hace que la posibilidad de ejecutar algunos ataques sea viable, aumentando el riesgo para la cuenta.
recommendation:
pt-br: Como estamos inseridos em um contexto extremamente crítico, a recomendação é que a conta exigi pelo menos 12 caracteres.
en: As we are in an extremely critical context, the recommendation is that the account requires at least 12 characters.
Expand Down
17 changes: 0 additions & 17 deletions templates/15.yml

This file was deleted.

Loading

0 comments on commit 37ccc82

Please sign in to comment.