Controles de Amazon EC2 Systems Manager

Estos controles están relacionados con las instancias de Amazon EC2 administradas porAWS Systems Manager.

Es posible que estos controles no estén disponibles en todosRegiones de AWS. Para obtener más información, consulte Disponibilidad de controles por región.

[SSM.1] Las instancias de Amazon EC2 deben gestionarse mediante AWS Systems Manager

Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-8 (1), NIST.800-53.R5 CM-8 (2), NIST.800-53.R5 CM-8 (2), NIST.800-53.R5 R5 CM-8 (3), NIST.800-53.R5 SA-15 (2), NIST.800-53.R5 SA-15 (8), NIST.800-53.R5 SA-3, NIST.800-53.R5 SI-2 (3)

Categoría: Identificar - Inventario

Gravedad: media

Tipo de recurso: AWS::EC2::Instance

Regla de AWS Config: ec2-instance-managed-by-systems-manager

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si las instancias de EC2 detenidas y en ejecución en su cuenta están administradas porAWS Systems Manager. Systems Manager es una Servicio de AWS herramienta que puede utilizar para ver y controlar su AWS infraestructura.

Para ayudarlo a mantener la seguridad y el cumplimiento, Systems Manager analiza las instancias administradas detenidas y en ejecución. Una instancia administrada es una máquina que está configurada para usarse con Systems Manager. A continuación, Systems Manager informa o toma medidas correctivas en relación con cualquier infracción de política que detecte. Systems Manager también le ayuda a configurar y mantener las instancias administradas.

Para obtener más información, consulte la Guía AWS Systems Manager del usuario.

Corrección

Puede utilizar la consola de Systems Manager para solucionar este problema.

Para garantizar que Systems Manager administre las instancias de EC2

1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

2. En el menú de navegación, selecciona Configuración rápida.

3. Seleccione Crear.

4. En Tipo de configuración, elija Administración de servidores y, a continuación, seleccione Siguiente.

5. En la pantalla de configuración, puede conservar las opciones predeterminadas.

   Si lo desea, puede realizar los siguientes cambios:

   1. Si utiliza CloudWatch para supervisar las instancias de EC2, seleccione Instalar y configurar el CloudWatch agente y actualice el CloudWatch agente una vez cada 30 días.

   2. En Destinos, elija el ámbito de administración para determinar las cuentas y las regiones en las que se aplica esta configuración.

   3. En Opciones de perfil de instancia, selecciona Agregar las políticas de IAM necesarias a los perfiles de instancia existentes adjuntos a tus instancias.

6. Seleccione Crear.

Para determinar si sus instancias admiten asociaciones de Systems Manager, consulte los requisitos previos de Systems Manager en la Guía del AWS Systems Manager usuario.

[SSM.2] Tras la instalación del parche, las instancias de Amazon EC2 gestionadas por Systems Manager deberían tener un estado de conformidad con los parches

Requisitos relacionados: PCI DSS v3.2.1/6.2, NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (3), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::SSM::PatchCompliance

Regla de AWS Config: ec2-managedinstance-patch-compliance-status-check

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si el estado de cumplimiento del parche de Systems Manager es COMPLIANT o NON_COMPLIANT después de la instalación del parche en la instancia. Solo comprueba las instancias administradas por Systems Manager Patch Manager.

Tener sus instancias de EC2 completamente parcheadas según lo requiera su organización reduce la superficie de ataque de su. Cuentas de AWS

Corrección

Para solucionar este problema, instala los parches necesarios en las instancias que no cumplan con las normas.

Para solucionar parches no conformes

1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

2. En Administración de nodos, elija Ejecutar comando y, a continuación, elija Ejecutar comando.

3. Selecciona el botón situado junto a AWS- RunPatchBaseline.

4. Cambie la Operation (Operación) a Install (Instalar).

5. Seleccione Choose instances manually (Elegir las instancias manualmente) y, a continuación, elija las instancias no conformes.

6. En la parte inferior de la página, elija Run (Ejecutar).

7. Una vez completado el comando, para monitorear el nuevo estado de conformidad de las instancias con parches, elija Compliance (Conformidad) en el panel de navegación.

Para obtener más información sobre el uso de los documentos de Systems Manager para aplicar parches a una instancia administrada, consulte Acerca de los documentos de SSM para aplicar parches a instancias y ejecutar comandos mediante el comando Ejecutar de Systems Manager en la Guía del AWS Systems Managerusuario.

[SSM.3] Las instancias de Amazon EC2 gestionadas por Systems Manager deben tener un estado de cumplimiento de asociación de CUMPLIMENTABLE

Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-8, NIST.800-53.R5 CM-8 (1), NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 R5 SI-2 (3)

Categoría: Detectar - Servicios de detección

Gravedad: baja

Tipo de recurso: AWS::SSM::AssociationCompliance

Regla de AWS Config: ec2-managedinstance-association-compliance-status-check

Tipo de cronograma: cambio activado

Parámetros: ninguno

Este control comprueba si el estado del cumplimiento de la AWS Systems Manager asociación es COMPLIANT o NON_COMPLIANT después de que la asociación se ejecute en una instancia. El control se aprueba si el estado de cumplimiento de la asociación esCOMPLIANT.

Una asociación de State Manager es una configuración que se asigna a las instancias administradas. La configuración define el estado que desea mantener en las instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y en ejecución en las instancias o que ciertos puertos deben estar cerrados.

Tras crear una o más asociaciones de State Manager, dispondrá inmediatamente de la información sobre el estado de cumplimiento. Puede ver el estado de cumplimiento en la consola o en respuesta a AWS CLI los comandos o a las acciones correspondientes de la API de Systems Manager. Para las asociaciones, Configuration Compliance muestra el estado de cumplimiento (CompliantoNon-compliant). También muestra el nivel de gravedad asignado a la asociación, como Critical oMedium.

Para obtener más información sobre el cumplimiento de las asociaciones de State Manager, consulte Acerca del cumplimiento de las asociaciones de State Manager en la Guía del AWS Systems Manager usuario.

Corrección

Una asociación fallida puede estar relacionada con diferentes cosas, incluidos los destinos y los nombres de los documentos SSM. Para solucionar este problema, primero debe identificar e investigar la asociación. A continuación, puede actualizar la asociación para corregir el problema específico.

Puede editar una asociación para especificar un nuevo nombre, la programación, el nivel de gravedad o los destinos. Después de editar una asociación, AWS Systems Manager crea una nueva versión.

Para investigar y actualizar una asociación fallida

1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

2. En el panel de navegación, en Administración de nodos, seleccione Fleet Manager.

3. Elija el ID de instancia que tenga el estado de asociación fallida.

4. Elija View details (Ver detalles).

5. Elige Asociaciones.

6. Anote el nombre de la asociación que tiene el estado de asociación fallida. Esta es la asociación que debe investigar. Debe utilizar el nombre de la asociación en el paso siguiente.

7. En el panel de navegación, en Administración de nodos, seleccione State Manager. Busque el nombre de la asociación y, a continuación, selecciónela.

8. Después de determinar el problema, edite la asociación fallida para corregir el problema. Para obtener información sobre cómo editar una asociación, consulte Editar una asociación.

Para obtener más información sobre la creación y edición de asociaciones de State Manager, consulte Trabajar con asociaciones en Systems Manager en la Guía del AWS Systems Manager usuario.

[SSM.4] Los documentos SSM no deben ser públicos

Requisitos relacionados: NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIS.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Categoría: Proteger > Configuración de red segura > Recursos no accesibles al público

Gravedad: crítica

Tipo de recurso: AWS::SSM::Document

Regla de AWS Config: ssm-document-not-public

Tipo de cronograma: Periódico

Parámetros: ninguno

Este control comprueba si AWS Systems Manager los documentos que son propiedad de la cuenta son públicos. Este control falla si los documentos SSM con el propietario Self son públicos.

Los documentos SSM que son públicos pueden permitir el acceso no deseado a sus documentos. Un documento SSM público puede exponer información valiosa sobre su cuenta, sus recursos y sus procesos internos.

A menos que su caso de uso requiera que esté habilitado el uso compartido público, Security Hub recomienda activar la configuración de bloqueo para el uso compartido público de los documentos de Systems Manager que son propiedad deSelf.

Corrección

Para obtener más información sobre cómo deshabilitar el acceso público a los documentos SSM, consulte Modificar los permisos de un documento SSM compartido y Prácticas recomendadas para los documentos SSM compartidos en la Guía del usuario. AWS Systems Manager