Amazon EC2 Systems Manager Manager-Steuerelemente - AWS Security Hub
[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben[SSM.4] SSM-Dokumente sollten nicht öffentlich sein

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon EC2 Systems Manager Manager-Steuerelemente

Diese Kontrollen beziehen sich auf Amazon EC2 EC2-Instances, die von AWS Systems Manager verwaltet werden.

Diese Kontrollen sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[SSM.1] Amazon EC2 EC2-Instances sollten verwaltet werden von AWS Systems Manager

Verwandte Anforderungen: PCI DSS v3.2.1/2.4, NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-8, NIST.800-53.R5 CM-8 (1), NIST.800-53.r5 CM-8 (2), NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SA-15 (2), NIST.800-53.R5 SA-15 (8), NIST.800-53.R5 SA-3, NIST.800-53.R5 SI-2 (3)

Kategorie: Identifizieren > Bestand

Schweregrad: Mittel

Evaluierte Ressource: AWS::EC2::Instance

Erforderliche AWS Config Aufzeichnungsressourcen:AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory

AWS Config -Regel: ec2-instance-managed-by-systems-manager

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die gestoppten und laufenden EC2-Instances in Ihrem Konto von AWS Systems Manager verwaltet werden. Systems Manager ist ein AWS-Service Programm, mit dem Sie Ihre AWS Infrastruktur anzeigen und steuern können.

Um Sie bei der Aufrechterhaltung von Sicherheit und Compliance zu unterstützen, scannt Systems Manager Ihre gestoppten und laufenden verwalteten Instances. Eine verwaltete Instanz ist eine Maschine, die für die Verwendung mit Systems Manager konfiguriert ist. Systems Manager meldet dann alle festgestellten Richtlinienverstöße oder ergreift Korrekturmaßnahmen. Systems Manager hilft Ihnen auch bei der Konfiguration und Wartung Ihrer verwalteten Instanzen.

Weitere Informationen finden Sie im AWS Systems Manager Benutzerhandbuch.

Abhilfe

Informationen zur Verwaltung von EC2-Instances mit Systems Manager finden Sie unter Amazon EC2 EC2-Hostverwaltung im AWS Systems Manager Benutzerhandbuch. Im Abschnitt Konfigurationsoptionen können Sie die Standardoptionen beibehalten oder sie nach Bedarf für Ihre bevorzugte Konfiguration ändern.

[SSM.2] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

Verwandte Anforderungen: PCI DSS v3.2.1/6.2, NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2, NIst.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (3), NIST.800-53.R5 SI-2 (4), NIst.800-53.R5 SI-2 (5)

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Hoch

Art der Ressource: AWS::SSM::PatchCompliance

AWS Config -Regel: ec2-managedinstance-patch-compliance-status-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement überprüft, ob der Konformitätsstatus von Systems Manager Patch Compliance COMPLIANT oder NON_COMPLIANT nach der Patch-Installation auf der Instanz ist. Die Kontrolle schlägt fehl, wenn der Konformitätsstatus lautetNON_COMPLIANT. Das Steuerelement überprüft nur Instanzen, die von Systems Manager Patch Manager verwaltet werden.

Durch das Patchen Ihrer EC2-Instances gemäß den Anforderungen Ihres Unternehmens wird die Angriffsfläche Ihrer Instances reduziert. AWS-Konten

Abhilfe

Systems Manager empfiehlt die Verwendung von Patch-Richtlinien, um das Patchen für Ihre verwalteten Instanzen zu konfigurieren. Sie können auch Systems Manager Manager-Dokumente verwenden, wie im folgenden Verfahren beschrieben, um eine Instanz zu patchen.

So korrigieren Sie nicht konforme Patches

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie für Node Management die Option Befehl ausführen und anschließend Befehl ausführen aus.

  3. Wählen Sie die Option für AWS- RunPatchBaseline.

  4. Ändern Sie die Operation in Install (Installieren).

  5. Wählen Sie Instanzen manuell auswählen und wählen Sie dann die nicht konformen Instanzen aus.

  6. Wählen Sie Ausführen aus.

  7. Wenn der Befehl abgeschlossen ist, wählen Sie im Navigationsbereich Compliance aus, um den neuen Compliance-Status Ihrer gepatchten Instances zu überwachen.

[SSM.3] Von Systems Manager verwaltete Amazon EC2 EC2-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

Verwandte Anforderungen: PCI DSS v3.2.1/2.4, NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-8, NIST.800-53.R5 CM-8 (1), NIST.800-53.r5 CM-8 (3), NIST.800-53.R5 SI-2 (3)

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Art der Ressource: AWS::SSM::AssociationCompliance

AWS Config -Regel: ec2-managedinstance-association-compliance-status-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Mit diesem Steuerelement wird geprüft, ob der Status der AWS Systems Manager Zuordnung auf einer Instanz den Status „Konformität“ hat COMPLIANT oder NON_COMPLIANT nachdem die Zuordnung ausgeführt wurde. Die Kontrolle schlägt fehl, wenn der Konformitätsstatus der Assoziation lautetNON_COMPLIANT.

Eine State Manager-Zuordnung ist eine Konfiguration, die Ihren verwalteten Instances zugewiesen ist. Die Konfiguration definiert den Status, den Sie auf Ihren Instances beibehalten möchten. Eine Zuordnung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen.

Nachdem Sie eine oder mehrere State Manager-Zuordnungen erstellt haben, stehen Ihnen sofort Informationen zum Compliance-Status zur Verfügung. Sie können den Konformitätsstatus in der Konsole oder als Reaktion auf AWS CLI Befehle oder entsprechende Systems Manager API-Aktionen anzeigen. Bei Zuordnungen zeigt Configuration Compliance den Konformitätsstatus (CompliantoderNon-compliant) an. Außerdem wird der Schweregrad angezeigt, der der Zuordnung zugewiesen wurde, z. B. Critical oderMedium.

Weitere Informationen zur Einhaltung der State Manager-Zuordnungen finden Sie im AWS Systems Manager Benutzerhandbuch unter Informationen zur Einhaltung von State Manager-Zuordnungen.

Abhilfe

Eine fehlgeschlagene Zuordnung kann auf verschiedene Dinge zurückzuführen sein, z. B. auf Ziele und SSM-Dokumentnamen. Um dieses Problem zu beheben, müssen Sie zunächst die Zuordnung identifizieren und untersuchen, indem Sie sich den Zuordnungsverlauf ansehen. Anweisungen zum Anzeigen des Zuordnungsverlaufs finden Sie unter Zuordnungshistorien anzeigen im AWS Systems Manager Benutzerhandbuch.

Nach der Untersuchung können Sie die Zuordnung bearbeiten, um das festgestellte Problem zu beheben. Sie können eine Zuordnung bearbeiten, um den Namen, den Zeitplan, den Schweregrad oder die Ziele zu ändern. Nachdem Sie eine Zuordnung bearbeitet haben, AWS Systems Manager wird eine neue Version erstellt. Anweisungen zum Bearbeiten einer Zuordnung finden Sie im AWS Systems Manager Benutzerhandbuch unter Bearbeiten und Erstellen einer neuen Version einer Zuordnung.

[SSM.4] SSM-Dokumente sollten nicht öffentlich sein

Verwandte Anforderungen: NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Kritisch

Art der Ressource: AWS::SSM::Document

AWS Config -Regel: ssm-document-not-public

Art des Zeitplans: Periodisch

Parameter: Keine

Mit dieser Kontrolle wird geprüft, ob AWS Systems Manager Dokumente, die dem Konto gehören, öffentlich sind. Diese Kontrolle schlägt fehl, wenn SSM-Dokumente mit dem Eigentümer öffentlich Self sind.

Öffentliche SSM-Dokumente ermöglichen möglicherweise unbeabsichtigten Zugriff auf Ihre Dokumente. Ein öffentliches SSM-Dokument kann wertvolle Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse preisgeben.

Sofern Ihr Anwendungsfall die öffentliche Freigabe nicht erfordert, empfehlen wir, die Einstellung für die öffentliche Freigabe für Systems Manager Manager-Dokumente zu blockieren, die Eigentum von sindSelf.

Abhilfe

Informationen zum Blockieren der öffentlichen Freigabe von SSM-Dokumenten finden Sie unter Sperren der öffentlichen Freigabe von SSM-Dokumenten im AWS Systems Manager Benutzerhandbuch.