ASArnulfo Sepúlveda
← Toolkits
Cloud

Cloud Security Baseline

Una revisión corta para encontrar riesgos obvios antes de que se vuelvan deuda permanente: identidad, logs, datos, secrets, red, backups y dueños. A short review to find obvious risks before they become permanent debt: identity, logs, data, secrets, network, backups and owners.

TiempoTime 60-120 min
SalidaOutput Baseline, riesgos y ownersBaseline, risks and owners
AlcanceScope una cuenta, proyecto o ambiente críticoone account, project or critical environment

Antes de revisarBefore reviewing

Define un alcance pequeño. "Toda la nube" casi siempre termina en una lista gigante que nadie puede cerrar. Mejor empieza por una cuenta, un producto, un ambiente o una ruta crítica de datos. Define a small scope. "All cloud" almost always ends as a giant list nobody can close. Start with one account, one product, one environment or one critical data path.

IAM

  • Usuarios humanos con MFA.Human users with MFA.
  • Admins separados de cuentas diarias.Admins separated from daily accounts.
  • Roles con alcance mínimo.Roles with minimum scope.
  • Service accounts con dueño.Service accounts with an owner.

Logging

  • Actividad administrativa registrada.Administrative activity logged.
  • Logs protegidos contra borrado fácil.Logs protected from easy deletion.
  • Retención definida.Retention defined.
  • Alertas para cambios críticos.Alerts for critical changes.

DatosData

  • Storage sin acceso público accidental.Storage without accidental public access.
  • Cifrado activado cuando aplica.Encryption enabled where appropriate.
  • Dueño y clasificación mínima.Owner and minimum classification.
  • Borrado y retención entendidos.Deletion and retention understood.
RevisiónReview Pregunta prácticaPractical question Evidencia mínimaMinimum evidence
AccesosAccess ¿Quién puede cambiar producción, billing, red o datos?Who can change production, billing, network or data? Lista de roles/admins y fecha de última revisión.List of roles/admins and last review date.
Secrets ¿Dónde viven llaves, tokens, credenciales y webhooks?Where do keys, tokens, credentials and webhooks live? Secret manager, rotación o plan de migración.Secret manager, rotation or migration plan.
ExposiciónExposure ¿Qué está abierto a internet y por qué?What is open to the internet and why? Inventario de endpoints, storage público, firewalls o security groups.Inventory of endpoints, public storage, firewalls or security groups.
RecuperaciónRecovery ¿Qué se puede restaurar y quién ya lo probó?What can be restored and who has tested it? Backup, restore test, RTO/RPO aproximado y owner.Backup, restore test, approximate RTO/RPO and owner.
CambiosChanges ¿Cómo se despliega y cómo se revierte?How is it deployed and how is it rolled back? Pipeline, approvals, logs de deploy y rollback probado.Pipeline, approvals, deploy logs and tested rollback.

Cambios de alto impactoHigh-impact changes

  • MFA para usuarios privilegiados y cuentas críticas.MFA for privileged users and critical accounts.
  • Eliminar llaves antiguas o sin dueño.Remove old or ownerless keys.
  • Cerrar storage público que no tenga razón documentada.Close public storage without a documented reason.
  • Activar logging administrativo y protegerlo.Enable administrative logging and protect it.
  • Probar al menos un restore crítico.Test at least one critical restore.

No persigas todoDo not chase everything

Un baseline útil no es una auditoría infinita. Es una foto honesta: qué está bien, qué está expuesto, qué falta comprobar y qué tres acciones conviene cerrar primero. A useful baseline is not an endless audit. It is an honest snapshot: what is okay, what is exposed, what still needs proof and which three actions should be closed first.