Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Systems Manager
Ces AWS Security Hub contrôles évaluent le service et les ressources AWS Systems Manager (SSM). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[SSM.1] Les EC2 instances Amazon doivent être gérées par AWS Systems Manager
Exigences associées : PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8), NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-2 (3) NIST.800-53.r5 SA-3
Catégorie : Identifier - Inventaire
Gravité : Moyenne
Ressource évaluée : AWS::EC2::Instance
Ressources AWS Config d'enregistrement requises :AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory
Règle AWS Config : ec2-instance-managed-by-systems-manager
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les EC2 instances arrêtées et en cours d'exécution de votre compte sont gérées par AWS Systems Manager. Systems Manager est un Service AWS outil que vous pouvez utiliser pour visualiser et contrôler votre AWS infrastructure.
Pour vous aider à maintenir la sécurité et la conformité, Systems Manager analyse vos instances gérées arrêtées et en cours d'exécution. Une instance gérée est une machine configurée pour être utilisée avec Systems Manager. Systems Manager signale ensuite ou prend des mesures correctives en cas de violation des politiques détectées. Systems Manager vous aide également à configurer et à gérer vos instances gérées.
Pour en savoir plus, consultez le guide de AWS Systems Manager l'utilisateur.
Correction
Pour gérer les EC2 instances avec Systems Manager, consultez la section Gestion des EC2 hôtes Amazon dans le Guide de AWS Systems Manager l'utilisateur. Dans la section Options de configuration, vous pouvez conserver les choix par défaut ou les modifier selon les besoins de votre configuration préférée.
[SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif
Exigences connexes : NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (3), NIST.800-53.R5 SI-2 (3), NIST.800-53.R5 SI-2 (5), NIST.800-171.R2 3.7.1, PCI DSS v3.3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::SSM::PatchCompliance
Règle AWS Config : ec2-managedinstance-patch-compliance-status-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'état de conformité du correctif de Systems Manager est COMPLIANT ou NON_COMPLIANT après l'installation du correctif sur l'instance. Le contrôle échoue si le statut de conformité estNON_COMPLIANT. Le contrôle vérifie uniquement les instances gérées par Systems Manager Patch Manager.
L'application de correctifs à vos EC2 instances selon les besoins de votre organisation réduit la surface d'attaque de votre Comptes AWS
Correction
Systems Manager recommande d'utiliser des politiques de correctifs pour configurer l'application de correctifs pour vos instances gérées. Vous pouvez également utiliser les documents Systems Manager, comme décrit dans la procédure suivante, pour patcher une instance.
Pour corriger les correctifs non conformes
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. -
Pour la gestion des nœuds, choisissez Exécuter la commande, puis sélectionnez Exécuter la commande.
-
Choisissez l'option pour AWS- RunPatchBaseline.
-
Passez l'Operation (Opération) à Install (Installer).
-
Choisissez Choisir les instances manuellement, puis choisissez les instances non conformes.
-
Cliquez sur Exécuter.
-
Une fois la commande terminée, pour surveiller le nouveau statut de conformité de vos instances corrigées, choisissez Compliance dans le volet de navigation.
[SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir le statut de conformité des associations COMPLIANT
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-8 (1), NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3
Catégorie : Détecter - Services de détection
Gravité : Faible
Type de ressource : AWS::SSM::AssociationCompliance
Règle AWS Config : ec2-managedinstance-association-compliance-status-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le statut de conformité de l' AWS Systems Manager association est COMPLIANT ou NON_COMPLIANT après l'exécution de l'association sur une instance. Le contrôle échoue si le statut de conformité de l'association estNON_COMPLIANT.
Une association State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances ou que certains ports doivent être fermés.
Une fois que vous avez créé une ou plusieurs associations de responsables d'État, les informations sur le statut de conformité sont immédiatement disponibles. Vous pouvez consulter l'état de conformité dans la console ou en réponse à des AWS CLI commandes ou à des actions d'API Systems Manager correspondantes. Pour les associations, Configuration Compliance indique l'état de conformité (CompliantouNon-compliant). Il indique également le niveau de gravité attribué à l'association, tel que Critical ouMedium.
Pour en savoir plus sur la conformité des associations State Manager, voir À propos de la conformité des associations State Manager dans le Guide de AWS Systems Manager l'utilisateur.
Correction
L'échec d'une association peut être lié à différents facteurs, notamment aux cibles et aux noms de documents de Systems Manager. Pour résoudre ce problème, vous devez d'abord identifier et étudier l'association en consultant l'historique des associations. Pour obtenir des instructions sur l'affichage de l'historique des associations, reportez-vous à la section Affichage de l'historique des associations dans le Guide de AWS Systems Manager l'utilisateur.
Après avoir étudié, vous pouvez modifier l'association pour corriger le problème identifié. Vous pouvez modifier une association pour spécifier un nouveau nom, un niveau de gravité ou des cibles. Après avoir modifié une association, il AWS Systems Manager crée une nouvelle version. Pour obtenir des instructions sur la modification d'une association, reportez-vous à la section Modification et création d'une nouvelle version d'une association dans le Guide de AWS Systems Manager l'utilisateur.
[SSM.4] Les documents du SSM ne doivent pas être publics
Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Critique
Type de ressource : AWS::SSM::Document
Règle AWS Config : ssm-document-not-public
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si AWS Systems Manager les documents détenus par un compte sont publics. Le contrôle échoue si les documents de Systems Manager dont Self le propriétaire est le propriétaire sont publics.
Les documents publics de Systems Manager peuvent autoriser un accès involontaire à vos documents. Un document public de Systems Manager peut exposer des informations précieuses sur votre compte, vos ressources et vos processus internes.
À moins que votre cas d'utilisation ne nécessite un partage public, nous vous recommandons de bloquer le partage public pour les documents Systems Manager dont Self le propriétaire est le propriétaire.
Correction
Pour plus d'informations sur la configuration du partage pour les documents de Systems Manager, voir Partager un document SSM dans le Guide de l'AWS Systems Manager utilisateur.
[SSM.5] Les documents SSM doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::SSM::Document
Règle AWS Config : ssm-document-tagged
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredKeyTags |
Une liste de clés de balise de type « v4 » qui doivent être attribuées à une ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux AWS exigences. | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Systems Manager document possède les clés de balise spécifiées par le requiredKeyTags paramètre. Le contrôle échoue si le document ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées par le requiredKeyTags paramètre. Si vous ne spécifiez aucune valeur pour le requiredKeyTags paramètre, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le document ne possède aucune clé de balise. Le contrôle ignore les balises système, qui sont appliquées automatiquement et portent le aws: préfixe. Le contrôle n'évalue pas les documents Systems Manager détenus par Amazon.
Une balise est une étiquette que vous créez et attribuez à une AWS ressource. Chaque balise se compose d'une clé de balise obligatoire et d'une valeur de balise facultative. Vous pouvez utiliser les balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Ils peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Ils peuvent également vous aider à suivre les propriétaires des ressources pour les actions et les notifications. Vous pouvez également utiliser des balises pour implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation. Pour plus d'informations sur les stratégies ABAC, voir Définir les autorisations en fonction des attributs dotés d'une autorisation ABAC dans le guide de l'utilisateur IAM. Pour plus d'informations sur les balises, consultez le guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises.
Note
Ne stockez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS. Ils ne sont pas destinés à être utilisés pour des données privées ou sensibles.
Correction
Pour ajouter des balises à un AWS Systems Manager document, vous pouvez utiliser le AddTagsToResourcefonctionnement de l' AWS Systems Manager API ou, si vous utilisez le AWS CLI, exécuter la add-tags-to-resourcecommande. Vous pouvez également utiliser la console AWS Systems Manager .
[SSM.6] La journalisation de SSM Automation devrait être activée CloudWatch
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::::Account
Règle AWS Config : ssm-automation-logging-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la CloudWatch journalisation Amazon est activée pour l'automatisation AWS Systems Manager (SSM). Le contrôle échoue si la CloudWatch journalisation n'est pas activée pour SSM Automation.
SSM Automation est un AWS Systems Manager outil qui vous aide à créer des solutions automatisées pour déployer, configurer et gérer les AWS ressources à grande échelle à l'aide de runbooks prédéfinis ou personnalisés. Pour répondre aux exigences opérationnelles ou de sécurité de votre organisation, vous devrez peut-être fournir un enregistrement des scripts qu'elle exécute. Vous pouvez configurer SSM Automation pour envoyer le résultat des aws:executeScript actions de vos runbooks vers un groupe de CloudWatch journaux Amazon Logs que vous spécifiez. Avec CloudWatch Logs, vous pouvez surveiller, stocker et accéder à des fichiers journaux provenant de différents types de fichiers Services AWS.
Correction
Pour plus d'informations sur l'activation de la CloudWatch journalisation pour SSM Automation, voir le résultat de l'action Logging Automation with CloudWatch Logs dans le guide de AWS Systems Manager l'utilisateur.
[SSM.7] Le paramètre de blocage du partage public doit être activé sur les documents SSM
Catégorie : Protéger > Gestion des accès sécurisés > Ressource non accessible au public
Gravité : Critique
Type de ressource : AWS::::Account
Règle AWS Config : ssm-automation-block-public-sharing
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si le paramètre de blocage du partage public est activé pour les AWS Systems Manager documents. Le contrôle échoue si le paramètre de partage public par blocs est désactivé pour les documents de Systems Manager.
Le paramètre de blocage du partage public pour les documents AWS Systems Manager (SSM) est un paramètre au niveau du compte. L'activation de ce paramètre peut empêcher tout accès indésirable à vos documents SSM. Si vous activez ce paramètre, votre modification n'affectera aucun document SSM que vous partagez actuellement avec le public. À moins que votre cas d'utilisation ne vous oblige à partager des documents SSM avec le public, nous vous recommandons d'activer le paramètre de blocage du partage public. Le réglage peut varier d'une personne à l'autre Région AWS.
Correction
Pour plus d'informations sur l'activation du paramètre de blocage du partage public pour les documents AWS Systems Manager (SSM), voir Bloquer le partage public des documents SSM dans le guide de l'AWS Systems Manager utilisateur.
