Merkmale der Fehlkonfiguration von Instanzen EC2 EC2 Erreichbarkeitsmerkmale für Instances Merkmale der Sicherheitslücke für EC2 Instances

Behebung von Risiken für Instanzen EC2

AWS Security Hub kann Risikopergebnisse für Amazon Elastic Compute Cloud (EC2) -Instances generieren.

Auf der Security Hub Hub-Konsole werden die EC2 Instanz, die an einer Risikofeststellung beteiligt war, und ihre identifizierenden Informationen im Abschnitt Ressourcen der Ergebnisdetails aufgeführt. Programmgesteuert können Sie Ressourcendetails mithilfe der GetFindingsV2Security Hub Hub-API abrufen.

Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.

Ein einziger Risikobefund umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.

Anmerkung

Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS

Inhalt

Merkmale der Fehlkonfiguration von Instanzen EC2

Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für EC2 Instanzen und empfohlene Schritte zur Behebung.

Die EC2 Instanz ermöglicht den Zugriff auf IMDS mit Version 1

Instance-Metadaten sind Daten über Ihre EC2 Amazon-Instance, die Anwendungen verwenden können, um die laufende Instance zu konfigurieren oder zu verwalten. Der Instance-Metadatenservice (IMDS) ist eine On-Instance-Komponente, die von Code auf der Instance verwendet wird, um sicher auf Instance-Metadaten zuzugreifen. Wenn IMDS nicht ordnungsgemäß gesichert ist, kann es zu einem potenziellen Angriffsvektor werden, da es Zugriff auf temporäre Anmeldeinformationen und andere sensible Konfigurationsdaten bietet. IMDSv2 bietet einen besseren Schutz vor Ausnutzung durch sitzungsorientierte Authentifizierung, die ein Sitzungstoken für Metadatenanfragen erfordert und die Sitzungsdauer begrenzt. Es wird AWS empfohlen, EC2 Amazon-Instances gemäß den Standardsicherheitsprinzipien so zu konfigurieren, dass sie verwendet IMDSv2 und deaktiviert IMDSv1 werden.

Testen Sie die Anwendungskompatibilität

Testen Sie Ihre Instance vor der Implementierung IMDSv2, um sicherzustellen, dass sie kompatibel mit ist IMDSv2. IMDSv1 Für einige Anwendungen oder Skripts sind möglicherweise Kernfunktionen erforderlich und eine zusätzliche Konfiguration erforderlich. Weitere Informationen zu Tools und empfohlenen Pfaden zum Testen der Anwendungskompatibilität finden Sie unter Übergang zur Verwendung von Instance Metadata Service Version 2 im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Aktualisieren Sie die zu verwendende Instanz IMDSv2

Ändern Sie vorhandene Instanzen, die verwendet IMDSv2 werden sollen. Weitere Informationen finden Sie unter Ändern von Instance-Metadaten-Optionen für bestehende Instances im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Updates auf Instances in einer Auto Scaling Scaling-Gruppe anwenden

Wenn Ihre Instance Teil einer Auto Scaling Scaling-Gruppe ist, aktualisieren Sie Ihre Startvorlage oder Startkonfiguration mit einer neuen Konfiguration und führen Sie eine Instance-Aktualisierung durch.

Die mit der EC2 Amazon-Instance verknüpfte IAM-Rolle hat eine administrative Zugriffsrichtlinie

Administrative Zugriffsrichtlinien bieten EC2 Amazon-Instances umfassende Berechtigungen AWS-Services und Ressourcen. Diese Richtlinien beinhalten in der Regel Berechtigungen, die für die Instance-Funktionalität nicht erforderlich sind. Die Bereitstellung einer IAM-Identität mit einer administrativen Zugriffsrichtlinie für eine EC2 Amazon-Instance (anstelle der Mindestberechtigungen, die die Ihrem Instance-Profil zugeordnete Rolle benötigt) kann den Umfang eines Angriffs erhöhen, wenn die EC2 Amazon-Instance kompromittiert wird. Wenn eine Instance kompromittiert wird, könnten Angreifer diese übermäßigen Berechtigungen nutzen, um sich seitlich in Ihrer Umgebung zu bewegen, auf Daten zuzugreifen oder Ressourcen zu manipulieren. Gemäß den Standardsicherheitsprinzipien empfehlen wir, die geringsten Rechte zu gewähren, d. h., Sie gewähren nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind.

Überprüfen und identifizieren Sie die Verwaltungsrichtlinien

Suchen Sie im IAM-Dashboard nach der Rolle mit dem Rollennamen. Überprüfen Sie die der IAM-Rolle beigefügte Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine AWS verwaltete Richtlinie handelt, suchen Sie nach AdministratorAccess oderIAMFullAccess. Andernfalls suchen Sie im Richtliniendokument nach Aussagen mit"Effect": "Allow", "Action": "*", und"Resource": "*".

Implementieren des Zugriffs mit geringsten Berechtigungen

Ersetzen Sie Verwaltungsrichtlinien durch Richtlinien, die nur die spezifischen Berechtigungen gewähren, die für das Funktionieren der Instanz erforderlich sind. Weitere Informationen zu bewährten Sicherheitsmethoden für IAM-Rollen finden Sie unter Anwenden von Berechtigungen mit den geringsten Rechten im Abschnitt Bewährte Sicherheitsmethoden im Benutzerhandbuch.AWS Identity and Access Management Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu erfahren, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Ergebnisse für externen und ungenutzten Zugriff. Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass andere Anwendungen, die die bestehende Rolle verwenden, beeinträchtigt werden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle und ordnen Sie dann die neue IAM-Rolle der Instance zu. Anweisungen zum Ersetzen einer IAM-Rolle für eine Instance finden Sie unter Eine IAM-Rolle an eine Instance anhängen im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Überlegungen zur sicheren Konfiguration

Wenn für die Instanz Administratorberechtigungen auf Service-Ebene erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:

Überlegungen zur sicheren Konfiguration
- Multi-Faktor-Authentifizierung (MFA) — MFA fügt eine zusätzliche Sicherheitsebene hinzu, da eine zusätzliche Form der Authentifizierung erforderlich ist. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Multi-Faktor-Authentifizierung (MFA) erforderlich.
- IAM-Bedingungen — Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können. Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken.AWS Identity and Access Management
- Berechtigungsgrenzen — Berechtigungsgrenzen legen die maximale Anzahl von Berechtigungen fest, die eine Rolle haben kann, und bieten so Richtlinien für Rollen mit Administratorzugriff. Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von Berechtigungsgrenzen, um die Rechteverwaltung innerhalb eines Kontos zu delegieren.AWS Identity and Access Management

Updates auf Instances in einer Auto Scaling-Gruppe anwenden

Aktualisieren Sie für EC2 Amazon-Instances in einer AWS Auto Scaling-Gruppe die Startvorlage oder die Startkonfiguration mit dem neuen Instance-Profil und führen Sie eine Instance-Aktualisierung durch. Informationen zum Aktualisieren einer Startvorlage finden Sie unter Ändern einer Startvorlage (Startvorlagenversionen verwalten) im Amazon Elastic Compute Cloud-Benutzerhandbuch. Weitere Informationen finden Sie unter Verwenden einer Instanzaktualisierung, um Instances in einer Auto Scaling Scaling-Gruppe zu aktualisieren. Weitere Informationen zur Verwendung von IAM-Rollen mit Auto Scaling Scaling-Gruppen finden Sie unter IAM-Rolle für Anwendungen, die auf EC2 Amazon-Instances ausgeführt werden, im Amazon EC2 Auto Scaling Scaling-Benutzerhandbuch.

Die mit der EC2 Amazon-Instance verknüpfte IAM-Rolle hat eine Service-Admin-Richtlinie

Richtlinien für den Servicezugriff gewähren EC2 Amazon-Instances umfassende Berechtigungen für AWS Dienste und Ressourcen. Diese Richtlinien beinhalten in der Regel Berechtigungen, die für die Instance-Funktionalität nicht erforderlich sind. Die Bereitstellung einer IAM-Identität mit einer administrativen Zugriffsrichtlinie für eine EC2 Amazon-Instance anstelle der Mindestberechtigungen, die die Ihrem Instance-Profil zugeordnete Rolle benötigt, kann den Umfang eines Angriffs erhöhen, wenn eine Instance kompromittiert wird. Gemäß den Standardsicherheitsprinzipien empfehlen wir, die geringsten Rechte zu gewähren, was bedeutet, dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.

Überprüfen und identifizieren Sie die Verwaltungsrichtlinien

Implementieren des Zugriffs mit geringsten Berechtigungen

Ersetzen Sie Dienstadministratorrichtlinien durch solche, die nur die spezifischen Berechtigungen gewähren, die für das Funktionieren der Instanz erforderlich sind. Weitere Informationen zu bewährten Sicherheitsmethoden für IAM-Rollen finden Sie unter Anwenden von Berechtigungen mit den geringsten Rechten im Abschnitt Bewährte Sicherheitsmethoden im Benutzerhandbuch.AWS Identity and Access Management Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu erfahren, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Ergebnisse für externen und ungenutzten Zugriff. Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass sich dies auf andere Anwendungen auswirkt, die die vorhandene Rolle verwenden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle und ordnen Sie dann die neue IAM-Rolle der Instance zu. Informationen zum Ersetzen einer IAM-Rolle für eine Instance finden Sie unter Anhängen einer IAM-Rolle an eine Instance im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Überlegungen zur sicheren Konfiguration

Multi-Faktor-Authentifizierung (MFA) — MFA fügt eine zusätzliche Sicherheitsebene hinzu, da eine zusätzliche Form der Authentifizierung erforderlich ist. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden. Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Multi-Faktor-Authentifizierung (MFA) erforderlich.
IAM-Bedingungen — Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können. Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken.AWS Identity and Access Management
Berechtigungsgrenzen — Berechtigungsgrenzen legen die maximale Anzahl von Berechtigungen fest, die eine Rolle haben kann, und bieten so Richtlinien für Rollen mit Administratorzugriff. Weitere Informationen finden Sie im Benutzerhandbuch unter Verwenden von Berechtigungsgrenzen, um die Rechteverwaltung innerhalb eines Kontos zu delegieren.AWS Identity and Access Management

Updates auf Instanzen in der Auto Scaling Scaling-Gruppe anwenden

Die EC2 Amazon-Instance verfügt über eine Sicherheitsgruppe oder Netzwerk-ACL, die SSH- oder RDP-Zugriff ermöglicht

Fernzugriffsprotokolle wie SSH und RDP ermöglichen es Benutzern, von externen Standorten aus eine Verbindung zu EC2 Amazon-Instances herzustellen und diese zu verwalten. Wenn Sicherheitsgruppen den uneingeschränkten Zugriff auf diese Protokolle aus dem Internet zulassen, vergrößern sie die Angriffsfläche Ihrer EC2 Amazon-Instances, indem sie den Internetzugriff auf Ihre Instance ermöglichen. Es wird AWS empfohlen, den Fernzugriff auf bestimmte, vertrauenswürdige IP-Adressen oder Bereiche zu beschränken.

Ändern Sie die Regeln für Sicherheitsgruppen

Beschränken Sie den Zugriff auf Ihre EC2 Amazon-Instances auf bestimmte vertrauenswürdige IP-Adressen. Beschränken Sie den SSH- und RDP-Zugriff auf bestimmte vertrauenswürdige IP-Adressen oder verwenden Sie die CIDR-Notation, um IP-Bereiche anzugeben (z. B. 198.168.1.0/24). Informationen zum Ändern von Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln konfigurieren im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Die EC2 Amazon-Instance hat eine offene Sicherheitsgruppe

Sicherheitsgruppen dienen als virtuelle Firewalls für Ihre EC2 Amazon-Instances, um den eingehenden und ausgehenden Datenverkehr zu kontrollieren. Offene Sicherheitsgruppen, die uneingeschränkten Zugriff von jeder IP-Adresse aus ermöglichen, können Ihre Instances unbefugten Zugriffen aussetzen. Es wird AWS empfohlen, den Zugriff von Sicherheitsgruppen auf bestimmte IP-Adressen und Ports gemäß den Standardsicherheitsprinzipien zu beschränken.

Überprüfen Sie die Sicherheitsgruppenregeln und bewerten Sie die aktuelle Konfiguration

Prüfen Sie, welche Ports offen und von weiten IP-Bereichen aus zugänglich sind, z. (0.0.0.0/0 or ::/0) B. Anweisungen zum Anzeigen von Sicherheitsgruppendetails finden Sie DescribeSecurityGroupsin der API-Referenz zum Porting Assistant for .NET.

Ändern Sie die Regeln für Sicherheitsgruppen

Ändern Sie Ihre Sicherheitsgruppenregeln, um den Zugriff auf bestimmte vertrauenswürdige IP-Adressen oder Bereiche einzuschränken. Denken Sie bei der Aktualisierung Ihrer Sicherheitsgruppenregeln darüber nach, die Zugriffsanforderungen für verschiedene Netzwerksegmente zu trennen, indem Sie Regeln für jeden erforderlichen Quell-IP-Bereich erstellen oder den Zugriff auf bestimmte Ports einschränken. Informationen zum Ändern von Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln konfigurieren im EC2 Amazon-Benutzerhandbuch.

Die EC2 Amazon-Instance hat eine öffentliche IP-Adresse

EC2 Amazon-Instances mit öffentlichen IP-Adressen sind öffentlich über das Internet zugänglich. Öffentliche IP-Adressen sind zwar manchmal für Instances erforderlich, die Dienste für externe Kunden bereitstellen, dies kann jedoch als potenzieller Angriff auf nicht autorisierte Principals genutzt werden. Es wird AWS empfohlen, die Offenlegung von Ressourcen durch die Öffentlichkeit so gering wie möglich zu halten.

Verschieben Sie die Instance in ein privates Subnetz

Wenn die Instance keinen direkten Internetzugang benötigt, sollten Sie erwägen, sie in ein privates Subnetz innerhalb Ihrer VPC zu verschieben. Dadurch wird die öffentliche IP-Adresse entfernt und es kann weiterhin mit anderen Ressourcen innerhalb Ihrer VPC kommunizieren. Weitere Informationen finden Sie unter Wie verschiebe ich meine EC2 Amazon-Instance in ein anderes Subnetz, eine Availability Zone oder eine VPC? im AWS Knowledge Center.

Konfigurieren Sie Instanzen so, dass sie ohne öffentliche IP-Adressen gestartet werden

Wenn die Instance in einem öffentlichen Subnetz gestartet wurde, für das keine öffentlichen IP-Adressen erforderlich sind, kann die Startkonfiguration geändert werden, um die automatische Zuweisung von öffentlichen IP-Adressen zu verhindern. Dies kann auf Subnetzebene oder beim Starten einzelner Instances deaktiviert werden. Weitere Informationen finden Sie unter Ändern der IP-Adressierungsattribute Ihres Subnetzes im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch und unter Amazon Amazon EC2instance IP-Adressierung im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Alternative Zugriffsmethoden

Erwägen Sie die folgenden Optionen für alternative Zugriffsmethoden:

Verwenden Sie ein NAT-Gateway für ausgehende Internetkonnektivität —

Für Instanzen in privaten Subnetzen, die Zugriff auf das Internet benötigen (z. B. zum Herunterladen von Updates), sollten Sie die Verwendung eines NAT-Gateways in Betracht ziehen, anstatt eine öffentliche IP-Adresse zuzuweisen. Ein NAT-Gateway ermöglicht es Instances in privaten Subnetzen, ausgehende Verbindungen zum Internet zu initiieren und gleichzeitig eingehende Verbindungen aus dem Internet zu verhindern. Weitere Informationen finden Sie unter NAT-Gateways im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.
Elastic Load Balancing verwenden — Für Instances, auf denen Webanwendungen ausgeführt werden, sollten Sie die Verwendung eines Elastic Load Balancer (LB) in Betracht ziehen. LBs kann so konfiguriert werden, dass Ihre Instances in privaten Subnetzen ausgeführt werden können, während der LB in einem öffentlichen Subnetz läuft und den Internetverkehr abwickelt. Weitere Informationen finden Sie unter Was ist Elastic Load Balancing? im AWS ELB-Benutzerhandbuch. Anleitungen zur Auswahl einer Stickiness-Strategie für Ihren LB finden Sie unter Load Balancer-Subnetze in AWS Prescriptive Guidance.

EC2 Erreichbarkeitsmerkmale für Instances

Im Folgenden finden Sie Merkmale der Erreichbarkeit für EC2 Instanzen und empfohlene Schritte zur Behebung.

Die EC2 Instanz ist über das Internet erreichbar

EC2 Amazon-Instances mit Ports, die vom Internet aus über ein Internet-Gateway (einschließlich Instances hinter Application Load Balancers oder Classic Load Balancers), eine VPC-Peering-Verbindung oder ein virtuelles VPN-Gateway erreichbar sind, können Ihre Instance dem Internet aussetzen. Gemäß den Standardsicherheitsprinzipien empfehlen wir die Implementierung von Netzwerkzugriffskontrollen mit geringsten Rechten, indem eingehender Datenverkehr auf die erforderlichen Quellen und Ports beschränkt wird.

Sicherheitsgruppenregeln ändern oder entfernen

Öffnen Sie auf der Registerkarte Ressourcen die Ressource für die EC2 Amazon-Sicherheitsgruppe. Prüfen Sie, ob ein Internetzugang erforderlich ist, damit die Instance funktioniert. Ändern oder entfernen Sie Sicherheitsgruppenregeln für eingehenden Datenverkehr, die uneingeschränkten Zugriff ermöglichen (0.0.0.0/0oder::/0). Implementieren Sie restriktivere Regeln, die auf bestimmten IP-Bereichen oder Sicherheitsgruppen basieren. Wenn ein eingeschränkter öffentlicher Zugriff erforderlich ist, beschränken Sie den Zugriff auf bestimmte Ports und Protokolle, die für die Funktion der Instanz erforderlich sind. Anweisungen zur Verwaltung von Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln konfigurieren im EC2 Amazon-Benutzerhandbuch.

Netzwerk aktualisieren ACLs

Überprüfen und ändern Sie die Netzwerkzugriffskontrolllisten (ACLs), die dem Subnetz der Instanz zugeordnet sind. Stellen Sie sicher, dass die ACL-Einstellungen mit den Änderungen der Sicherheitsgruppe übereinstimmen und nicht unbeabsichtigt öffentlichen Zugriff zulassen. Anweisungen zum Ändern des Netzwerks ACLs finden Sie unter Work with network ACLs im Amazon VPC-Benutzerhandbuch.

Alternative Zugriffsmethoden

Erwägen Sie die folgenden Optionen für alternative Zugriffsmethoden:

Verwenden Sie das NAT-Gateway für ausgehende Internetkonnektivität — Für Instances in privaten Subnetzen, die Zugriff auf das Internet benötigen (z. B. um Updates herunterzuladen), sollten Sie ein NAT-Gateway verwenden, anstatt eine öffentliche IP-Adresse zuzuweisen. Ein NAT-Gateway ermöglicht es Instances in privaten Subnetzen, ausgehende Verbindungen zum Internet zu initiieren und gleichzeitig eingehende Verbindungen aus dem Internet zu verhindern. s
Verwenden Sie Systems Manager Session Manager — Session Manager bietet sicheren Shell-Zugriff auf Ihre EC2 Amazon-Instances, ohne dass eingehende Ports erforderlich sind, SSH-Schlüssel verwaltet oder Bastion-Hosts verwaltet werden müssen.
Verwenden Sie WAF und Elastic Load Balancing oder Application Load Balancer — Für Instances, auf denen Webanwendungen ausgeführt werden, sollten Sie erwägen, einen LB in Kombination mit einer AWS Web Application Firewall (WAF) zu verwenden. LBs kann so konfiguriert werden, dass Ihre Instances in privaten Subnetzen ausgeführt werden können, während der LB in einem öffentlichen Subnetz läuft und den Internetverkehr abwickelt. Das Hinzufügen einer WAF zu Ihrem Load Balancer bietet zusätzlichen Schutz vor Web-Exploits und Bots.

Die EC2 Amazon-Instance ist innerhalb der Amazon VPC erreichbar

Mit Amazon Virtual Private Cloud (Amazon VPC) können Sie AWS Ressourcen in einem definierten virtuellen Netzwerk starten. Amazon VPC-Netzwerkkonfigurationen, die uneingeschränkten Zugriff zwischen Instances ermöglichen, können den Umfang eines Angriffs erhöhen, wenn eine Instance kompromittiert wird. Es wird AWS empfohlen, Netzwerksegmentierung und Zugriffskontrollen mit geringsten Rechten auf Subnetz- und Sicherheitsgruppenebene zu implementieren.

Überprüfen Sie die Netzwerkverbindungsmuster von Amazon VPC

Identifizieren Sie in der Risikofeststellung die Sicherheitsgruppen-ID im ARN. Identifizieren Sie, welche Instances miteinander kommunizieren müssen und über welche Ports. Sie können Amazon VPC Flow Logs verwenden, um bestehende Datenverkehrsmuster in Ihrer Amazon VPC zu analysieren, um festzustellen, welche Ports verwendet werden.

Ändern Sie die Regeln für Sicherheitsgruppen

Ändern Sie Ihre Sicherheitsgruppenregeln, um den Zugriff auf bestimmte vertrauenswürdige IP-Adressen oder Bereiche einzuschränken. Anstatt beispielsweise den gesamten Datenverkehr aus dem gesamten VPC-CIDR-Bereich (z. B. 10.0.0.0/16) zuzulassen, sollten Sie den Zugriff auf bestimmte Sicherheitsgruppen oder IP-Bereiche einschränken. Denken Sie bei der Aktualisierung Ihrer Sicherheitsgruppenregeln darüber nach, die Zugriffsanforderungen für verschiedene Netzwerksegmente zu trennen, indem Sie Regeln für jeden erforderlichen Quell-IP-Bereich erstellen oder den Zugriff auf bestimmte Ports einschränken. Informationen zum Ändern von Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln konfigurieren im EC2 Amazon-Benutzerhandbuch.

Erwägen Sie, Ihre Amazon VPC-Ressourcen auf der Grundlage von Sicherheitsanforderungen oder Funktionen in Subnetze zu organisieren. Platzieren Sie beispielsweise Webserver und Datenbankserver in separaten Subnetzen. Weitere Informationen finden Sie unter Subnetze für Ihre VPC im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.

Konfigurieren Sie das Netzwerk ACLs für den Schutz auf Subnetzebene

Network Access Control Lists (NACLs) bieten eine zusätzliche Sicherheitsebene auf Subnetzebene. Im Gegensatz zu Sicherheitsgruppen NACLs sind sie zustandslos und erfordern, dass sowohl eingehende als auch ausgehende Regeln explizit definiert werden. Weitere Informationen finden Sie unter Steuern des Subnetzverkehrs mit Netzwerkzugriffskontrolllisten im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.

Weitere Überlegungen

Beachten Sie Folgendes, wenn Sie den Zugriff auf Ihre Amazon VPC einschränken

Transit Gateway oder Amazon VPC Peering mit restriktivem Routing — Wenn Ihre Architektur mehrere verwendet, VPCs die kommunizieren müssen, sollten Sie die Verwendung von AWS Transit Gateway und Amazon VPC Peering in Betracht ziehen, um Konnektivität zwischen Amazon bereitzustellen und VPCs gleichzeitig zu kontrollieren, welche Subnetze miteinander kommunizieren können. Weitere Informationen finden Sie unter Erste Schritte mit der Verwendung von Amazon VPC Transit Gateways und VPC-Peering-Verbindungen.
Service-Endpunkte und private Links — Amazon VPC-Endpunkte können verwendet werden, um den Datenverkehr innerhalb des AWS Netzwerks zu halten und mit AWS Ressourcen statt über das Internet zu kommunizieren. Dies reduziert den Bedarf an direkter Konnektivität zwischen Instances, die auf dieselben Dienste zugreifen. Informationen zu VPC-Endpunkten finden Sie unter Was sind Amazon VPC-Endpunkte? im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch. Für die Konnektivität zu Diensten, die in anderen Amazon-Ländern gehostet werden VPCs, sollten Sie die Verwendung von in Betracht ziehen AWS PrivateLink.

Merkmale der Sicherheitslücke für EC2 Instances

Im Folgenden finden Sie die Merkmale der Sicherheitslücken für EC2 Instanzen und empfohlene Schritte zur Behebung.

EC2 Die Instanz weist Softwareschwachstellen auf, die über das Netzwerk ausgenutzt werden können und die Wahrscheinlichkeit einer Ausnutzung hoch ist

Softwarepakete, die auf EC2 Instanzen installiert sind, können häufig anfälligen Sicherheitslücken () ausgesetzt sein. CVEs Kritische CVEs Sicherheitsrisiken stellen erhebliche Sicherheitsrisiken für Ihre AWS Umgebung dar. Unbefugte Benutzer können diese ungepatchten Sicherheitslücken ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Kritische Sicherheitslücken mit hoher Wahrscheinlichkeit stellen unmittelbare Sicherheitsbedrohungen dar, da Exploit-Code möglicherweise bereits öffentlich verfügbar ist und von Angreifern oder automatisierten Scan-Tools aktiv genutzt wird. Wir empfehlen, diese Sicherheitslücken zu patchen, um Ihre Instanz zu schützen.

Aktualisieren Sie die betroffenen Instanzen

Sehen Sie sich den Abschnitt Referenzen auf der Registerkarte Sicherheitslücke des Merkmals an. Die Herstellerdokumentation kann spezifische Anleitungen zur Problembehebung enthalten. Folgen Sie den entsprechenden Abhilfemaßnahmen anhand dieser allgemeinen Richtlinien:

Verwenden Sie Systems Manager Patch Manager, um Patches für Betriebssysteme und Anwendungen anzuwenden. Patch Manager unterstützt Sie bei der automatischen Auswahl und Bereitstellung von Betriebssystem- und Softwarepatches für große Gruppen von Instanzen. Wenn Sie Patch Manager nicht konfiguriert haben, aktualisieren Sie das Betriebssystem auf jeder betroffenen Instanz manuell.

Aktualisieren Sie die betroffenen Anwendungen gemäß den vom Hersteller empfohlenen Verfahren auf ihre neuesten sicheren Versionen. Um Anwendungsupdates über mehrere Instanzen hinweg zu verwalten, sollten Sie den Systems Manager State Manager verwenden, um Ihre Software in einem konsistenten Zustand zu halten. Wenn keine Updates verfügbar sind, sollten Sie erwägen, die anfällige Anwendung zu entfernen oder zu deaktivieren, bis ein Patch veröffentlicht wird, oder Sie sollten andere Abhilfemaßnahmen ergreifen, z. B. den Netzwerkzugriff auf die Anwendung einschränken oder anfällige Funktionen deaktivieren.

Folgen Sie den spezifischen Empfehlungen zur Problembehebung im Ergebnis von Amazon Inspector. Dies kann das Ändern von Sicherheitsgruppenregeln, das Ändern von Instance-Konfigurationen oder das Anpassen von Anwendungseinstellungen beinhalten.

Prüfen Sie, ob die Instance Teil der Auto Scaling Group ist. AMI-Ersatz-Patches werden auf unveränderlichen Infrastrukturen durchgeführt, indem die AMI-ID aktualisiert wird, die für die Bereitstellung neuer EC2 Amazon-Instances in einer Auto Scaling Scaling-Gruppe konfiguriert ist. Wenn Sie ein custom/golden AMI verwenden, erstellen Sie eine Instance mit dem neuen AMI, passen Sie dann die Instance an und erstellen Sie ein neues goldenes AMI. Weitere Informationen finden Sie unter Patching für AMI-Updates (Verwendung von Patched AMIs für Auto Scaling Scaling-Gruppen).

Überlegungen für die Zukunft

Um future Vorkommnisse zu verhindern, sollten Sie die Implementierung eines Vulnerability Management-Programms in Betracht ziehen. Amazon Inspector kann so konfiguriert werden, dass automatisch nach CVEs Ihren Instances gesucht wird. Amazon Inspector kann für automatische Problembehebungen auch in Security Hub integriert werden. Erwägen Sie die Implementierung eines regelmäßigen Patch-Zeitplans mithilfe von Systems Manager Maintenance Windows, um Unterbrechungen Ihrer Instanzen so gering wie möglich zu halten.

Die EC2 Amazon-Instance weist Softwareschwachstellen auf

Softwarepakete, die auf Amazon installiert sind, EC2instances können allgemeinen Sicherheitslücken und Gefahren ausgesetzt sein (CVEs). Bei nicht kritischen Sicherheitslücken CVEs handelt es sich um Sicherheitslücken mit geringerem Schweregrad oder geringerer Ausnutzbarkeit als kritische. CVEs Diese Sicherheitslücken stellen zwar ein geringeres unmittelbares Risiko dar, aber Angreifer können diese ungepatchten Sicherheitslücken dennoch ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, diese Sicherheitslücken zu patchen, um Ihre Instance vor Angriffen zu schützen.

Aktualisieren Sie die betroffenen Instanzen

Verwenden Sie AWS Systems Manager Patch Manager, um Patches für Betriebssysteme anzuwenden. Patch Manager unterstützt Sie bei der automatischen Auswahl und Bereitstellung von Betriebssystem- und Softwarepatches für große Gruppen von Instanzen. Wenn Sie Patch Manager nicht konfiguriert haben, aktualisieren Sie das Betriebssystem auf jeder betroffenen Instanz manuell.

Aktualisieren Sie die betroffenen Anwendungen gemäß den vom Hersteller empfohlenen Verfahren auf ihre neuesten sicheren Versionen. Um Anwendungsupdates über mehrere Instanzen hinweg zu verwalten, sollten Sie den AWS Systems Manager State Manager verwenden, um Ihre Software in einem konsistenten Zustand zu halten. Wenn keine Updates verfügbar sind, sollten Sie erwägen, die anfällige Anwendung zu entfernen oder zu deaktivieren, bis ein Patch veröffentlicht wird, oder Sie sollten andere Abhilfemaßnahmen ergreifen, z. B. den Netzwerkzugriff auf die Anwendung einschränken oder anfällige Funktionen deaktivieren.

Überlegungen für die Zukunft

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Behebung von Risiken für DynamoDB-Tabellen

Behebung von Risiken für Amazon ECS-Services