Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Systems Manager
Estos AWS Security Hub los controles evalúan el AWS Systems Manager (SSM) servicio y recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8) NIST.800-53.r5 SA-3, NIST.800-53.r5 SA-1 NIST .800-53.r5 SI-2 (3)
Categoría: Identificar - Inventario
Gravedad: media
Recurso evaluado: AWS::EC2::Instance
Necesario AWS Config recursos de grabación: AWS::EC2::Instance
, AWS::SSM::ManagedInstanceInventory
AWS Config regla: ec2-instance-managed-by-systems-manager
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las EC2 instancias detenidas y en ejecución de su cuenta están gestionadas por AWS Systems Manager. Systems Manager es un Servicio de AWS que puede utilizar para ver y controlar su AWS infraestructura.
Para ayudarle a mantener la seguridad y la conformidad, Systems Manager analiza sus instancias administradas detenidas y en ejecución. Una instancia administrada es una máquina que está configurada para usarse con Systems Manager. Luego, Systems Manager informa o toma medidas correctivas sobre cualquier infracción de política que detecte. Systems Manager también lo ayuda a configurar y mantener sus instancias administradas.
Para obtener más información, consulte AWS Systems Manager Guía del usuario .
Corrección
Para gestionar EC2 instancias con Systems Manager, consulte Amazon EC2 host management en la AWS Systems Manager Guía del usuario. En la sección Opciones de configuración, puede conservar las opciones predeterminadas o cambiarlas según sea necesario según la configuración que prefiera.
[SSM.2] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad con el parche COMPLIANT tras la instalación de un parche
Requisitos relacionados: PCI DSS v3.2.1/6.2, NIST .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (3), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::SSM::PatchCompliance
AWS Config regla: ec2-managedinstance-patch-compliance-status-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el estado de la conformidad de los parches de Systems Manager es COMPLIANT
o NON_COMPLIANT
después de instalar el parche en la instancia. El control falla si el estado de conformidad es NON_COMPLIANT
. El control solo comprueba las instancias administradas por el Administrador de parches de Systems Manager.
Aplicar parches a sus EC2 instancias según lo requiera su organización reduce la superficie de ataque de su Cuentas de AWS.
Corrección
Systems Manager recomienda utilizar políticas de parches para configurar los parches para las instancias administradas. También puede utilizar los documentos de Systems Manager, tal y como se describe en el siguiente procedimiento, para aplicar un parche a una instancia.
Para solucionar parches no conformes
Abra el icono AWS Systems Manager consola en. https://console.aws.amazon.com/systems-manager/
-
En Administración de nodos, elija Ejecutar comando y, a continuación, elija Ejecutar comando.
-
Elija la opción para AWS-RunPatchBaseline.
-
Cambie la Operation (Operación) a Install (Instalar).
-
Seleccione Elegir las instancias manualmente y, a continuación, elija las instancias no conformes.
-
Elija Ejecutar.
-
Una vez completado el comando, para monitorear el nuevo estado de conformidad de las instancias con parches, elija Conformidad en el panel de navegación.
[SSM.3] EC2 Las instancias de Amazon gestionadas por Systems Manager deben tener un estado de conformidad de asociación de COMPLIANT
Requisitos relacionados: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2), .800-53.r5 CM-8, NIST .800-53.r5 CM-8 (1), .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2 (3) NIST NIST NIST
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::SSM::AssociationCompliance
AWS Config regla: ec2-managedinstance-association-compliance-status-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si el estado de la AWS Systems Manager el cumplimiento de la asociación es COMPLIANT
o NON_COMPLIANT
después de que la asociación se ejecute en una instancia. El control falla si el estado de conformidad de la asociación es NON_COMPLIANT
.
Una asociación de State Manager es una configuración que se asigna a sus instancias administradas. La configuración define el estado que desea mantener en las instancias. Por ejemplo, una asociación puede especificar que el software antivirus debe estar instalado y ejecutándose en sus instancias, o bien que determinados puertos deben estar cerrados.
Después de crear una o varias asociaciones de administradores estatales, la información sobre el estado de la conformidad estará disponible inmediatamente. Puede ver el estado de conformidad en la consola o en respuesta a AWS CLI comandos o las API acciones correspondientes de Systems Manager. En el caso de las asociaciones, Conformidad de la configuración muestra el estado de conformidad (Compliant
oNon-compliant
). También muestra el nivel de gravedad asignado a la asociación, como Critical
o Medium
.
Para obtener más información sobre el cumplimiento de las asociaciones de administradores estatales, consulte Acerca del cumplimiento de las asociaciones de administradores estatales en la AWS Systems Manager Guía del usuario.
Corrección
Una asociación fallida puede estar relacionada con diferentes factores, incluidos los destinos y los nombres de los documentos de Systems Manager. Para solucionar este problema, primero debe identificar e investigar la asociación consultando el historial de asociaciones. Para obtener instrucciones sobre cómo ver el historial de asociaciones, consulte Visualización del historial de asociaciones en AWS Systems Manager Guía del usuario.
Tras investigar, puede editar la asociación para corregir el problema identificado. Puede editar una asociación para especificar un nuevo nombre, la programación, el nivel de gravedad o los destinos. Tras editar una asociación, AWS Systems Manager crea una nueva versión. Para obtener instrucciones sobre cómo editar una asociación, consulte Edición y creación de una nueva versión de una asociación en AWS Systems Manager Guía del usuario.
[SSM.4] SSM los documentos no deben ser públicos
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoría: Proteger > Configuración de red segura > Recursos no accesibles públicamente
Gravedad: crítica
Tipo de recurso: AWS::SSM::Document
AWS Config regla: ssm-document-not-public
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si AWS Systems Manager los documentos que son propiedad de la cuenta son públicos. Este control falla si los documentos de Systems Manager con el propietario Self
son públicos.
Los documentos de Systems Manager que son públicos pueden permitir el acceso no deseado a sus documentos. Un documento público de Systems Manager puede exponer información valiosa sobre su cuenta, sus recursos y sus procesos internos.
A menos que su caso de uso requiera el uso compartido público, le recomendamos que bloquee la configuración de uso compartido público para los documentos de Systems Manager que son propiedad de Self
.
Corrección
Para bloquear el uso compartido público de los documentos de Systems Manager, consulte Bloquear el uso compartido público de SSM documentos en el AWS Systems Manager Guía del usuario.