Caractéristiques de mauvaise configuration pour les instances EC2 Caractéristiques d'accessibilité pour les instances EC2 Caractéristiques de vulnérabilité pour les EC2 instances

Corriger les risques pour les instances EC2

AWS Security Hub peut générer des résultats d'exposition pour les instances Amazon Elastic Compute Cloud (EC2).

Sur la console Security Hub, l' EC2 instance impliquée dans une découverte d'exposition et ses informations d'identification sont répertoriées dans la section Ressources des détails de la découverte. Par programmation, vous pouvez récupérer les détails des ressources grâce au GetFindingsV2fonctionnement de l'API Security Hub.

Après avoir identifié la ressource impliquée dans un constat d'exposition, vous pouvez supprimer la ressource si vous n'en avez pas besoin. La suppression d'une ressource non essentielle peut réduire votre profil d'exposition et vos AWS coûts. Si la ressource est essentielle, suivez ces étapes de correction recommandées pour atténuer le risque. Les sujets de remédiation sont divisés en fonction du type de trait.

Un seul résultat d'exposition contient des problèmes identifiés dans plusieurs rubriques de remédiation. À l'inverse, vous pouvez corriger une constatation d'exposition et en réduire le niveau de gravité en abordant un seul sujet de remédiation. Votre approche en matière de remédiation des risques dépend des exigences et des charges de travail de votre organisation.

Note

Les conseils de remédiation fournis dans cette rubrique peuvent nécessiter des consultations supplémentaires dans d'autres AWS ressources.

Table des matières

Caractéristiques de mauvaise configuration pour les instances EC2

Voici les caractéristiques de mauvaise configuration des EC2 instances et les étapes de correction suggérées.

L' EC2 instance autorise l'accès à IMDS à l'aide de la version 1

Les métadonnées d'instance sont des données relatives à votre EC2 instance Amazon que les applications peuvent utiliser pour configurer ou gérer l'instance en cours d'exécution. Le service de métadonnées d'instance (IMDS) est un composant sur instance utilisé par le code sur l'instance pour accéder en toute sécurité aux métadonnées d'instance. Si l'IMDS n'est pas correctement sécurisé, il peut devenir un vecteur d'attaque potentiel, car il donne accès à des informations d'identification temporaires et à d'autres données de configuration sensibles. IMDSv2 fournit une protection renforcée contre l'exploitation grâce à une authentification orientée session, en exigeant un jeton de session pour les demandes de métadonnées et en limitant la durée des sessions. Conformément aux principes de sécurité standard, il est AWS recommandé de configurer les EC2 instances Amazon pour les utiliser IMDSv2 et les désactiver IMDSv1.

Tester la compatibilité des applications

Avant de procéder à IMDSv2 l'implémentation, testez votre instance pour vous assurer de sa compatibilité avec IMDSv2. Certaines applications ou certains scripts peuvent nécessiter IMDSv1 des fonctionnalités de base et une configuration supplémentaire. Pour plus d'informations sur les outils et les méthodes recommandées pour tester la compatibilité des applications, consultez le guide de l'utilisateur Amazon Elastic Compute Cloud sur la transition vers l'utilisation de la version 2 du service de métadonnées d'instance.

Mettre à jour l'instance à utiliser IMDSv2

Modifiez les instances existantes à utiliser IMDSv2. Pour plus d'informations, consultez la section Modifier les options de métadonnées d'instance pour les instances existantes dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Appliquer les mises à jour aux instances d'un groupe Auto Scaling

Si votre instance fait partie d'un groupe Auto Scaling, mettez à jour votre modèle de lancement ou votre configuration de lancement avec une nouvelle configuration, puis actualisez l'instance.

Le rôle IAM associé à l' EC2 instance Amazon est soumis à une politique d'accès administratif

Les politiques d'accès administratif fournissent aux EC2 instances Amazon des autorisations Services AWS et des ressources étendues. Ces politiques incluent généralement des autorisations qui ne sont pas requises pour les fonctionnalités de l'instance. Fournir une identité IAM avec une politique d'accès administratif à une EC2 instance Amazon (au lieu de l'ensemble minimal d'autorisations dont le rôle associé à votre profil d'instance a besoin) peut augmenter la portée d'une attaque si l' EC2 instance Amazon est compromise. Si une instance est compromise, les attaquants peuvent utiliser ces autorisations excessives pour se déplacer latéralement dans votre environnement, accéder à des données ou manipuler des ressources. Conformément aux principes de sécurité standard, nous vous recommandons d'accorder le minimum de privilèges, ce qui signifie que vous n'accordez que les autorisations nécessaires à l'exécution d'une tâche.

Examiner et identifier les politiques administratives

Dans le tableau de bord IAM, recherchez le rôle portant le nom du rôle. Passez en revue la politique d'autorisation associée au rôle IAM. S'il s'agit d'une politique AWS gérée, recherchez AdministratorAccess ouIAMFullAccess. Sinon, dans le document de politique, recherchez les énoncés marqués par"Effect": "Allow", "Action": "*", et"Resource": "*".

Implémentation d’un accès sur la base du moindre privilège

Remplacez les politiques administratives par des politiques qui n'accordent que les autorisations spécifiques nécessaires au fonctionnement de l'instance. Pour plus d'informations sur les meilleures pratiques de sécurité pour les rôles IAM, voir Appliquer les autorisations de moindre privilège dans Bonnes pratiques de sécurité du Guide de l'AWS Identity and Access Management utilisateur. Pour identifier les autorisations inutiles, vous pouvez utiliser l'analyseur d'accès IAM pour comprendre comment modifier votre politique en fonction de l'historique des accès. Pour plus d'informations, consultez la section Constatations relatives aux accès externes et non utilisés dans le Guide de AWS Identity and Access Management l'utilisateur. Vous pouvez également créer un nouveau rôle IAM pour éviter d'affecter les autres applications utilisant le rôle existant. Dans ce scénario, créez un nouveau rôle IAM, puis associez-le à l'instance. Pour obtenir des instructions sur le remplacement d'un rôle IAM par une instance, consultez Attacher un rôle IAM à une instance dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Considérations relatives à la configuration sécurisée

Si des autorisations administratives au niveau du service sont nécessaires pour l'instance, envisagez de mettre en œuvre ces contrôles de sécurité supplémentaires pour atténuer les risques :

Considérations relatives à la configuration sécurisée
- Authentification multifactorielle (MFA) — L'authentification multifactorielle ajoute une couche de sécurité supplémentaire en exigeant une forme d'authentification supplémentaire. Cela permet d'empêcher tout accès non autorisé même si les informations d'identification sont compromises. Pour plus d'informations, voir Exiger une authentification multifactorielle (MFA) dans AWS Identity and Access Management le guide de l'utilisateur.
- Conditions IAM : la configuration des éléments de condition vous permet de limiter le moment et la manière dont les autorisations administratives peuvent être utilisées en fonction de facteurs tels que l'adresse IP source ou l'âge du MFA. Pour plus d'informations, consultez la section Utiliser les conditions dans les politiques IAM pour restreindre davantage l'accès dans le Guide de l'AWS Identity and Access Management utilisateur.
- Limites d'autorisations : les limites d'autorisation définissent le maximum d'autorisations qu'un rôle peut avoir, fournissant ainsi des garanties pour les rôles dotés d'un accès administratif. Pour plus d'informations, voir Utiliser les limites d'autorisations pour déléguer la gestion des autorisations au sein d'un compte dans le Guide de AWS Identity and Access Management l'utilisateur.

Appliquer les mises à jour aux instances d'un groupe de mise à l'échelle automatique

Pour les EC2 instances Amazon d'un groupe de dimensionnement AWS automatique, mettez à jour le modèle de lancement ou la configuration de lancement avec le nouveau profil d'instance, puis actualisez l'instance. Pour plus d'informations sur la mise à jour d'un modèle de lancement, consultez Modifier un modèle de lancement (gestion des versions du modèle de lancement) dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud. Pour plus d'informations, consultez Utiliser une actualisation d'instance pour mettre à jour les instances d'un groupe Auto Scaling. Pour plus d'informations sur l'utilisation des rôles IAM avec les groupes Auto Scaling, consultez la section Rôle IAM pour les applications qui s'exécutent sur des EC2 instances Amazon dans le manuel Amazon EC2 Auto Scaling User Guide.

Le rôle IAM associé à l' EC2 instance Amazon est régi par une politique d'administration de service

Les politiques d'accès aux services fournissent aux EC2 instances Amazon des autorisations étendues sur les AWS services et les ressources. Ces politiques incluent généralement des autorisations qui ne sont pas requises pour les fonctionnalités de l'instance. Fournir une identité IAM avec une politique d'accès administratif à une EC2 instance Amazon au lieu de l'ensemble minimal d'autorisations dont le rôle associé à votre profil d'instance a besoin peut augmenter la portée d'une attaque si une instance est compromise. Conformément aux principes de sécurité standard, nous vous recommandons d'accorder le minimum de privilèges, ce qui signifie que vous n'accordez que les autorisations nécessaires à l'exécution d'une tâche.

Examiner et identifier les politiques administratives

Implémentation d’un accès sur la base du moindre privilège

Remplacez les politiques d'administration du service par celles qui n'accordent que les autorisations spécifiques requises pour le fonctionnement de l'instance. Pour plus d'informations sur les meilleures pratiques de sécurité pour les rôles IAM, voir Appliquer les autorisations de moindre privilège dans Bonnes pratiques de sécurité du Guide de l'AWS Identity and Access Management utilisateur. Pour identifier les autorisations inutiles, vous pouvez utiliser l'analyseur d'accès IAM pour comprendre comment modifier votre politique en fonction de l'historique des accès. Pour plus d'informations, consultez la section Constatations relatives aux accès externes et non utilisés dans le Guide de AWS Identity and Access Management l'utilisateur. Vous pouvez également créer un nouveau rôle IAM pour éviter d'affecter les autres applications qui utilisent le rôle existant. Dans ce scénario, créez un nouveau rôle IAM, puis associez-le à l'instance. Pour plus d'informations sur le remplacement d'un rôle IAM par une instance, consultez la section Attacher un rôle IAM à une instance dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud

Considérations relatives à la configuration sécurisée

Si des autorisations administratives au niveau du service sont nécessaires pour l'instance, envisagez de mettre en œuvre ces contrôles de sécurité supplémentaires pour atténuer les risques :

Considérations relatives à la configuration sécurisée

Si des autorisations administratives au niveau du service sont nécessaires pour l'instance, envisagez de mettre en œuvre ces contrôles de sécurité supplémentaires pour atténuer les risques :

Authentification multifactorielle (MFA) — L'authentification multifactorielle ajoute une couche de sécurité supplémentaire en exigeant une forme d'authentification supplémentaire. Cela permet d'empêcher tout accès non autorisé même si les informations d'identification sont compromises. Pour plus d'informations, voir Exiger une authentification multifactorielle (MFA) dans AWS Identity and Access Management le guide de l'utilisateur.
Conditions IAM : la configuration des éléments de condition vous permet de limiter le moment et la manière dont les autorisations administratives peuvent être utilisées en fonction de facteurs tels que l'adresse IP source ou l'âge du MFA. Pour plus d'informations, consultez la section Utiliser les conditions dans les politiques IAM pour restreindre davantage l'accès dans le Guide de l'AWS Identity and Access Management utilisateur.
Limites d'autorisations : les limites d'autorisation définissent le maximum d'autorisations qu'un rôle peut avoir, fournissant ainsi des garanties pour les rôles dotés d'un accès administratif. Pour plus d'informations, voir Utiliser les limites d'autorisations pour déléguer la gestion des autorisations au sein d'un compte dans le Guide de AWS Identity and Access Management l'utilisateur.

Appliquer les mises à jour aux instances du groupe Auto Scaling

L' EC2 instance Amazon possède un groupe de sécurité ou une ACL réseau qui autorise l'accès SSH ou RDP

Les protocoles d'accès à distance tels que SSH et RDP permettent aux utilisateurs de se connecter aux EC2 instances Amazon et de les gérer depuis des sites externes. Lorsque les groupes de sécurité autorisent un accès illimité à ces protocoles depuis Internet, ils augmentent la surface d'attaque de vos EC2 instances Amazon en autorisant l'accès Internet à votre instance. Conformément aux principes de sécurité standard, il est AWS recommandé de limiter l'accès à distance à des adresses ou plages IP spécifiques et fiables.

Modifier les règles du groupe de sécurité

Limitez l'accès à vos EC2 instances Amazon à des adresses IP fiables spécifiques. Limitez l'accès SSH et RDP à des adresses IP fiables spécifiques ou utilisez la notation CIDR pour spécifier des plages d'adresses IP (par exemple, 198.168.1.0/24). Pour modifier les règles des groupes de sécurité, consultez la section Configurer les règles des groupes de sécurité dans le guide de l'utilisateur Amazon Elastic Compute Cloud.

L' EC2 instance Amazon possède un groupe de sécurité ouvert

Les groupes de sécurité agissent comme des pare-feux virtuels pour vos EC2 instances Amazon afin de contrôler le trafic entrant et sortant. Les groupes de sécurité ouverts, qui autorisent un accès illimité depuis n'importe quelle adresse IP, peuvent exposer vos instances à un accès non autorisé. Conformément aux principes de sécurité standard, AWS recommande de restreindre l'accès des groupes de sécurité à des adresses IP et à des ports spécifiques.

Passez en revue les règles du groupe de sécurité et évaluez la configuration actuelle

Évaluez quels ports sont ouverts et accessibles à partir de larges plages d'adresses IP, par exemple(0.0.0.0/0 or ::/0). Pour obtenir des instructions sur l'affichage des détails des groupes de sécurité, consultez le DescribeSecurityGroupsmanuel de référence de l'API de l'assistant de portage pour .NET.

Modifier les règles du groupe de sécurité

Modifiez les règles de votre groupe de sécurité pour restreindre l'accès à des adresses ou plages d'adresses IP fiables spécifiques. Lorsque vous mettez à jour les règles de votre groupe de sécurité, pensez à séparer les exigences d'accès pour les différents segments du réseau en créant des règles pour chaque plage d'adresses IP source requise ou en limitant l'accès à des ports spécifiques. Pour modifier les règles des groupes de sécurité, consultez la section Configurer les règles des groupes de sécurité dans le guide de EC2 l'utilisateur Amazon.

L' EC2 instance Amazon possède une adresse IP publique

EC2 Les instances Amazon dotées d'adresses IP publiques sont accessibles au public depuis Internet. Bien que les adresses IP publiques soient parfois nécessaires pour les instances fournissant des services à des clients externes, elles peuvent être utilisées pour attaquer des acteurs non autorisés. Conformément aux principes de sécurité standard, il est AWS recommandé de limiter l'exposition publique aux ressources dans la mesure du possible.

Déplacer l'instance vers un sous-réseau privé

Si l'instance ne nécessite pas d'accès direct à Internet, envisagez de la déplacer vers un sous-réseau privé au sein de votre VPC. Cela supprimera son adresse IP publique tout en lui permettant de communiquer avec d'autres ressources au sein de votre VPC. Pour plus d'informations, consultez Comment déplacer mon EC2 instance Amazon vers un autre sous-réseau, une autre zone de disponibilité ou un autre VPC ? dans le AWS Knowledge Center.

Configurer les instances pour qu'elles soient lancées sans adresses IP publiques

Si l'instance a été lancée dans un sous-réseau public ne nécessitant pas d'adresses IP publiques, la configuration de lancement peut être modifiée pour empêcher l'attribution automatique d'adresses IP publiques. Cela peut être désactivé au niveau du sous-réseau ou lors du lancement d'instances individuelles. Pour plus d'informations, consultez Modifier les attributs d'adressage IP de votre sous-réseau dans le guide de l'utilisateur Amazon Virtual Private Cloud et adressage EC2instance IP Amazon dans le guide de l'utilisateur Amazon Elastic Compute Cloud.

Autres méthodes d'accès

Envisagez les options suivantes pour les autres méthodes d'accès :

Utilisez une passerelle NAT pour la connectivité Internet sortante —

Pour les instances situées dans des sous-réseaux privés qui nécessitent un accès à Internet (par exemple, pour télécharger des mises à jour), envisagez d'utiliser une passerelle NAT au lieu d'attribuer une adresse IP publique. Une passerelle NAT permet aux instances situées dans des sous-réseaux privés d'établir des connexions sortantes vers Internet tout en empêchant les connexions entrantes en provenance d'Internet. Pour plus d'informations, consultez la section Passerelles NAT dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.
Utiliser Elastic Load Balancing : pour les instances qui exécutent des applications Web, pensez à utiliser un Elastic Load Balancer (LB). LBs peut être configuré pour permettre à vos instances de s'exécuter dans des sous-réseaux privés tandis que le LB s'exécute dans un sous-réseau public et gère le trafic Internet. Pour plus d'informations, consultez Qu'est-ce qu'Elastic Load Balancing ? dans le guide de l'utilisateur de l' AWS ELB. Voir les sous-réseaux d'équilibrage de charge dans le guide AWS prescriptif pour savoir comment choisir une stratégie de rigidité pour votre LB.

Caractéristiques d'accessibilité pour les instances EC2

Voici les caractéristiques d'accessibilité pour les EC2 exemples et les étapes de correction suggérées.

L' EC2 instance est accessible via Internet

Les EC2 instances Amazon dont les ports sont accessibles depuis Internet via une passerelle Internet (y compris les instances situées derrière des équilibreurs de charge d'application ou des équilibreurs de charge classiques), une connexion d'appairage VPC ou une passerelle virtuelle VPN peuvent exposer votre instance à Internet. Conformément aux principes de sécurité standard, nous recommandons de mettre en œuvre des contrôles d'accès réseau avec le moindre privilège en limitant le trafic entrant aux seules sources et aux ports nécessaires.

Modifier ou supprimer les règles du groupe de sécurité

Dans l'onglet Ressources, ouvrez la ressource pour le groupe EC2 de sécurité Amazon. Vérifiez si un accès à Internet est requis pour que l'instance fonctionne. Modifiez ou supprimez les règles des groupes de sécurité entrants qui autorisent un accès illimité (0.0.0.0/0ou::/0). Implémentez des règles plus restrictives basées sur des plages d'adresses IP ou des groupes de sécurité spécifiques. Si un accès public limité est nécessaire, limitez l'accès aux ports et protocoles spécifiques requis pour le fonctionnement de l'instance. Pour obtenir des instructions sur la gestion des règles des groupes de sécurité, consultez la section Configurer les règles des groupes de sécurité dans le guide de EC2 l'utilisateur Amazon.

Mettre à jour le réseau ACLs

Passez en revue et modifiez les listes de contrôle d'accès réseau (ACLs) associées au sous-réseau de l'instance. Vérifiez que les paramètres ACL correspondent aux modifications du groupe de sécurité et n'autorisent pas involontairement l'accès public. Pour obtenir des instructions sur la modification du réseau ACLs, consultez la section Travailler avec le réseau ACLs dans le guide de l'utilisateur Amazon VPC.

Autres méthodes d'accès

Envisagez les options suivantes pour les autres méthodes d'accès :

Utiliser une passerelle NAT pour la connectivité Internet sortante : pour les instances situées dans des sous-réseaux privés qui nécessitent un accès à Internet (par exemple, pour télécharger des mises à jour), envisagez d'utiliser une passerelle NAT au lieu d'attribuer une adresse IP publique. Une passerelle NAT permet aux instances situées dans des sous-réseaux privés d'établir des connexions sortantes vers Internet tout en empêchant les connexions entrantes en provenance d'Internet. s
Utilisez le gestionnaire de session de Systems Manager : le gestionnaire de session fournit un accès shell sécurisé à vos EC2 instances Amazon sans avoir besoin de ports entrants, de gérer des clés SSH ou de gérer des hôtes bastion.
Utilisez WAF et Elastic Load Balancing ou Application Load Balancer : pour les instances qui exécutent des applications Web, pensez à utiliser un LB AWS associé à un Web Application Firewall (WAF). LBs peut être configuré pour permettre à vos instances de s'exécuter dans des sous-réseaux privés tandis que le LB s'exécute dans un sous-réseau public et gère le trafic Internet. L'ajout d'un WAF à votre équilibreur de charge fournit une protection supplémentaire contre les exploits Web et les robots.

L' EC2 instance Amazon est accessible au sein d'Amazon VPC

Amazon Virtual Private Cloud (Amazon VPC) vous permet de lancer AWS des ressources dans un réseau virtuel défini. Les configurations réseau Amazon VPC qui autorisent un accès illimité entre les instances peuvent augmenter la portée d'une attaque si une instance est compromise. Conformément aux meilleures pratiques de sécurité, AWS recommande de mettre en œuvre une segmentation du réseau et des contrôles d'accès avec le moindre privilège au niveau du sous-réseau et du groupe de sécurité.

Consultez les modèles de connectivité réseau Amazon VPC

Dans le résultat de l'exposition, identifiez l'ID du groupe de sécurité dans l'ARN. Identifiez les instances qui doivent communiquer entre elles et sur quels ports. Vous pouvez utiliser Amazon VPC Flow Logs pour analyser les modèles de trafic existants dans votre Amazon VPC afin d'identifier les ports utilisés.

Modifier les règles du groupe de sécurité

Modifiez les règles de votre groupe de sécurité pour restreindre l'accès à des adresses ou plages d'adresses IP fiables spécifiques. Par exemple, au lieu d'autoriser tout le trafic provenant de l'ensemble de la plage d'adresses CIDR VPC (par exemple, 10.0.0.0/16), limitez l'accès à des groupes de sécurité ou à des plages d'adresses IP spécifiques. Lorsque vous mettez à jour les règles de votre groupe de sécurité, pensez à séparer les exigences d'accès pour les différents segments du réseau en créant des règles pour chaque plage d'adresses IP source requise ou en limitant l'accès à des ports spécifiques. Pour modifier les règles des groupes de sécurité, consultez la section Configurer les règles des groupes de sécurité dans le guide de EC2 l'utilisateur Amazon.

Envisagez d'organiser vos ressources Amazon VPC en sous-réseaux en fonction des exigences de sécurité ou des fonctions. Par exemple, placez les serveurs Web et les serveurs de base de données dans des sous-réseaux distincts. Pour plus d'informations, consultez la section Sous-réseaux de votre VPC dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

Configuration du réseau ACLs pour une protection au niveau du sous-réseau

Les listes de contrôle d'accès réseau (NACLs) fournissent une couche de sécurité supplémentaire au niveau du sous-réseau. Contrairement aux groupes de sécurité, NACLs ils sont apatrides et nécessitent que les règles entrantes et sortantes soient explicitement définies. Pour plus d'informations, consultez la section Contrôler le trafic des sous-réseaux à l'aide de listes de contrôle d'accès réseau dans le guide de l'utilisateur d'Amazon Virtual Private Cloud.

Considérations supplémentaires

Tenez compte des points suivants lorsque vous limitez l'accès à votre Amazon VPC

Transit Gateway ou Amazon VPC Peering avec routage restrictif — Si votre architecture en utilise plusieurs VPCs qui doivent communiquer, envisagez d'utiliser AWS Transit Gateway et Amazon VPC peering pour assurer la connectivité entre Amazon VPCs tout en vous permettant de contrôler les sous-réseaux autorisés à communiquer entre eux. Pour plus d'informations, consultez Commencer à utiliser les passerelles de transit Amazon VPC et les connexions d'appairage VPC.
Points de terminaison de service et liens privés : les points de terminaison Amazon VPC peuvent être utilisés pour maintenir le trafic au sein AWS du réseau afin de communiquer AWS avec les ressources plutôt que via Internet. Cela réduit le besoin de connectivité directe entre les instances accédant aux mêmes services. Pour plus d'informations sur les points de terminaison VPC, consultez Que sont les points de terminaison Amazon VPC ? dans le guide de l'utilisateur d'Amazon Virtual Private Cloud. Pour la connectivité aux services hébergés sur d'autres Amazon VPCs, pensez à utiliser AWS PrivateLink.

Caractéristiques de vulnérabilité pour les EC2 instances

Voici les caractéristiques de vulnérabilité des EC2 instances et les étapes de correction suggérées.

EC2 l'instance présente des vulnérabilités logicielles exploitables par le réseau avec une forte probabilité d'exploitation

Les progiciels installés sur les EC2 instances peuvent être exposés à des vulnérabilités et à des risques courants (CVEs). CVEs Les éléments critiques présentent des risques de sécurité importants pour votre AWS environnement. Des donneurs d'ordres non autorisés peuvent exploiter ces vulnérabilités non corrigées pour compromettre la confidentialité, l'intégrité ou la disponibilité des données, ou pour accéder à d'autres systèmes. Les vulnérabilités critiques présentant une forte probabilité d'exploitation constituent des menaces de sécurité immédiates, car le code d'exploitation peut déjà être accessible au public et utilisé activement par des attaquants ou des outils d'analyse automatisés. Nous vous recommandons de corriger ces vulnérabilités afin de protéger votre instance.

Mettre à jour les instances concernées

Consultez la section Références dans l'onglet Vulnérabilité du trait. La documentation du fournisseur peut inclure des conseils de correction spécifiques. Suivez les mesures correctives appropriées en suivant ces directives générales :

Utilisez le gestionnaire de correctifs de Systems Manager pour appliquer des correctifs aux systèmes d'exploitation et aux applications. Patch Manager vous aide à sélectionner et à déployer automatiquement les correctifs du système d'exploitation et du logiciel sur de grands groupes d'instances. Si le gestionnaire de correctifs n'est pas configuré, mettez à jour manuellement le système d'exploitation sur chaque instance affectée.

Mettez à jour les applications concernées vers leurs dernières versions sécurisées en suivant les procédures recommandées par le fournisseur. Pour gérer les mises à jour des applications sur plusieurs instances, pensez à utiliser Systems Manager State Manager afin de maintenir la cohérence de votre logiciel. Si les mises à jour ne sont pas disponibles, envisagez de supprimer ou de désactiver l'application vulnérable jusqu'à la publication d'un correctif ou d'autres mesures d'atténuation, telles que la restriction de l'accès réseau à l'application ou la désactivation des fonctionnalités vulnérables.

Suivez les conseils de correction spécifiques fournis dans les conclusions d'Amazon Inspector. Cela peut impliquer de modifier les règles du groupe de sécurité, de modifier les configurations d'instance ou d'ajuster les paramètres de l'application.

Vérifiez si l'instance fait partie d'Auto Scaling Group. Les correctifs de remplacement des AMI sont effectués sur des infrastructures immuables en mettant à jour l'ID d'AMI configuré pour déployer de nouvelles EC2 instances Amazon dans un groupe Auto Scaling. Si vous utilisez une custom/golden AMI, créez une instance avec la nouvelle AMI, puis personnalisez-la et créez une nouvelle AMI dorée. Pour plus d'informations, consultez la section Mise à jour des correctifs de l'AMI (utilisation de patched AMIs pour les groupes Auto Scaling).

Considérations futures

Pour éviter que cela ne se reproduise à l'avenir, envisagez de mettre en œuvre un programme de gestion des vulnérabilités. Amazon Inspector peut être configuré pour effectuer une analyse automatique CVEs sur vos instances. Amazon Inspector peut également être intégré à Security Hub pour des corrections automatiques. Envisagez de mettre en œuvre un calendrier régulier d'application des correctifs à l'aide de Systems Manager Maintenance Windows afin de minimiser les perturbations sur vos instances.

L' EC2 instance Amazon présente des vulnérabilités logicielles

Les progiciels installés sur Amazon EC2instances peuvent être exposés à des vulnérabilités et à des risques courants (CVEs). Les failles non critiques CVEs représentent des faiblesses de sécurité moins graves ou moins exploitables que les failles critiques. CVEs Bien que ces vulnérabilités présentent un risque immédiat moindre, les attaquants peuvent toujours exploiter ces vulnérabilités non corrigées pour compromettre la confidentialité, l'intégrité ou la disponibilité des données, ou pour accéder à d'autres systèmes. Conformément aux meilleures pratiques de sécurité, il est AWS recommandé de corriger ces vulnérabilités afin de protéger votre instance contre les attaques.

Mettre à jour les instances concernées

Utilisez le gestionnaire de correctifs de AWS Systems Manager pour appliquer des correctifs aux systèmes d'exploitation. Patch Manager vous aide à sélectionner et à déployer automatiquement les correctifs du système d'exploitation et du logiciel sur de grands groupes d'instances. Si le gestionnaire de correctifs n'est pas configuré, mettez à jour manuellement le système d'exploitation sur chaque instance affectée.

Mettez à jour les applications concernées vers leurs dernières versions sécurisées en suivant les procédures recommandées par le fournisseur. Pour gérer les mises à jour des applications sur plusieurs instances, pensez à utiliser AWS Systems Manager State Manager afin de maintenir la cohérence de votre logiciel. Si les mises à jour ne sont pas disponibles, envisagez de supprimer ou de désactiver l'application vulnérable jusqu'à la publication d'un correctif ou d'autres mesures d'atténuation, telles que la restriction de l'accès réseau à l'application ou la désactivation des fonctionnalités vulnérables.

Considérations futures

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Corriger les risques liés aux tables DynamoDB

Corriger les risques liés aux services Amazon ECS