Bonnes pratiques de sécurité pour Systems Manager - AWS Systems Manager
Bonnes pratiques de sécurité préventive pour Systems ManagerBonnes pratiques de surveillance et d'audit pour Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de sécurité pour Systems Manager

AWS Systems Manager fournit un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.

Bonnes pratiques de sécurité préventive pour Systems Manager

Les bonnes pratiques suivantes pour Systems Manager peuvent aider à éviter les incidents de sécurité.

Implémentation d'un accès sur la base du moindre privilège

Lorsque vous accordez des autorisations, vous sélectionnez qui obtient les autorisations pour telles ou telles ressources Systems Manager. Vous autorisez des actions spécifiques que vous souhaitez autoriser sur ces ressources. Par conséquent, vous devez accorder uniquement les autorisations qui sont requises pour exécuter une tâche. L'implémentation d'un accès sur la base du moindre privilège est fondamentale pour réduire les risques en matière de sécurité et l'impact que pourraient avoir des d'erreurs ou des actes de malveillance.

Les outils suivants sont disponibles pour l'implémentation d'un accès sur la base du moindre privilège :

Utiliser les paramètres recommandés SSM Agent lorsque vous êtes configuré pour utiliser un proxy

Si vous configurez SSM Agent pour utiliser un proxy, utilisez la no_proxy variable avec l'adresse IP du service de métadonnées de l'instance de Systems Manager pour vous assurer que les appels à Systems Manager ne prennent pas l'identité du service proxy.

Pour plus d’informations, consultez Configuration SSM Agent pour utiliser un proxy sur les nœuds Linux et Configurer l'SSM Agent pour utiliser un proxy pour les instances Windows Server.

Utiliser SecureString des paramètres pour chiffrer et protéger les données secrètes

DansParameter Store, une capacité de AWS Systems ManagerSecureString paramètre désigne toute donnée sensible qui doit être stockée et référencée de manière sécurisée. Si vous ne souhaitez pas que les utilisateurs modifient ou référencent en texte brut, telles que des mots de passe ou des clés de licence, créez ces paramètres à l'aide du type de SecureString données. Parameter Storeutilise un AWS KMS key in AWS Key Management Service (AWS KMS) pour chiffrer la valeur du paramètre. AWS KMS utilise soit une clé gérée par le client, soit une clé Clé gérée par AWS lors du chiffrement de la valeur du paramètre. Pour une sécurité maximale, nous vous recommandons d'utiliser votre propre clé KMS. Si vous utilisez le Clé gérée par AWS, tout utilisateur autorisé à exécuter les GetParametersactions GetParameteret dans votre compte peut consulter ou récupérer le contenu de tous les SecureString paramètres. Si vous utilisez des clés gérées par le client pour chiffrer vos valeurs SecureString sécurisées, vous pouvez utiliser des politiques IAM et des politiques de clé pour gérer les autorisations de chiffrement et de déchiffrement des paramètres.

Il est plus difficile d'établir des politiques de contrôle d'accès pour ces opérations lorsque vous utilisez un Clé gérée par AWS. Par exemple, si vous utilisez un Clé gérée par AWS pour chiffrer des SecureString paramètres et que vous ne souhaitez pas que les utilisateurs utilisent des SecureString paramètres, les politiques IAM de l'utilisateur doivent explicitement refuser l'accès à la clé par défaut.

Pour de plus amples informations, consultez Restriction de l'accès aux paramètres Systems Manager à l'aide des politiques IAM et Comment AWS Systems ManagerParameter Store utilise la AWS KMS dans le Manuel du développeur AWS Key Management Service .

Définir des allowedValues et un allowedPattern pour les paramètres de document

Vous pouvez valider les entrées utilisateur pour les paramètres de documents Systems Manager (SSM) en définissant allowedValues et allowedPattern. Pour allowedValues, vous définissez un tableau de valeurs autorisées pour le paramètre. Si un utilisateur saisit une valeur non autorisée, l'exécution échoue. Pour allowedPattern, vous définissez une expression régulière qui valide si l'entrée utilisateur correspond au modèle défini pour le paramètre. Si l'entrée utilisateur ne correspond pas au modèle autorisé, l'exécution échoue.

Pour plus d'informations sur allowedValues et allowedPattern, consultez Éléments de données et paramètres.

Bloquer le partage public de documents

À moins que votre cas d'utilisation exige que le partage public soit autorisé, nous vous recommandons d'activer le paramètre de partage public de bloc pour vos documents SSM dans la section Preferences (Préférences) de la console Systems Manager Documents.

Utilisation d'un Amazon Virtual Private Cloud (Amazon VPC) et de points de terminaison de VPC

Vous pouvez utiliser Amazon VPC pour lancer AWS des ressources dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre data center, et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS.

En implémentant un point de terminaison VPC, vous pouvez connecter de manière privée votre VPC aux services de point de terminaison VPC pris en charge et AWS services alimentés par celui-ci AWS PrivateLink sans avoir besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion. AWS Direct Connect Les instances de votre VPC ne requièrent pas d'adresses IP publiques pour communiquer avec les ressources du service. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon.

Pour plus d'informations sur la sécurité d'Amazon VPC, consultez Améliorer la sécurité des instances EC2 en utilisant les points de terminaison VPC pour Systems Manager et la confidentialité du trafic interréseau dans Amazon VPC dans le guide de l'utilisateur Amazon VPC.

Limiter les utilisateurs Session Manager aux sessions utilisant des commandes interactives et des documents de session SSM spécifiques

Session Manager, une des fonctionnalités de AWS Systems Manager, fournit plusieurs méthodes pour démarrer des sessions sur vos nœuds gérés. Pour les connexions les plus sécurisées, vous pouvez exiger que les utilisateurs se connectent à l'aide de la méthode des commandes interactives afin de limiter l'interaction de l'utilisateur à une commande ou une séquence de commandes spécifique. Cela vous permet de gérer les actions interactives qu'un utilisateur peut effectuer. Pour plus d’informations, consultez Démarrage d'une session (commandes interactives et non interactives).

Pour plus de sécurité, vous pouvez limiter l'accès à Session Manager à des instances Amazon EC2 spécifiques et à des documents de session Session Manager spécifiques. Vous accordez ou révoquez Session Manager l'accès de cette manière en utilisant des politiques AWS Identity and Access Management (IAM). Pour plus d’informations, consultez Étape 3 : Contrôler les accès de session aux nœuds gérés.

Mise à disposition d'autorisations de nœud temporaires aux flux de travail Automation

Lors d'un flux de travail dans Automation, une des fonctionnalités de AWS Systems Manager, vos nœuds peuvent avoir besoin d'autorisations nécessaires pour cette exécution uniquement, mais pas pour d'autres opérations Systems Manager. Par exemple, un flux de travail d'automatisation peut nécessiter qu'un nœud appelle une opération d'API particulière ou accède à une AWS ressource spécifiquement pendant le flux de travail. Si ces appels ou ressources sont ceux auxquels vous souhaitez limiter l'accès, vous pouvez fournir des autorisations supplémentaires temporaires pour vos nœuds dans le runbook Automation lui-même au lieu d'ajouter les autorisations à votre profil d'instance IAM. À la fin du flux de travail Automation, les autorisations temporaires sont supprimées. Pour plus d'informations, consultez l'article relatif à l'affectation d'autorisations d'instance temporaires avec AWS Systems Manager Automations sur l'AWS Management and Governance Blog.

Maintien à jour AWS et mise à jour des Systems Manager outils

AWS publie régulièrement des versions mises à jour d'outils et de plugins que vous pouvez utiliser dans le Systems Manager cadre AWS de vos opérations. La mise à jour de ces ressources garantit que les utilisateurs et les nœuds de votre compte ont accès aux fonctionnalités et aux fonctions de sécurité les plus récentes de ces outils.

  • SSM Agent – AWS Systems Manager Agent (SSM Agent) est un logiciel Amazon qui peut être installé et configuré sur une instance Amazon Elastic Compute Cloud (Amazon EC2), un serveur sur site ou une machine virtuelle (VM). SSM Agent permet à Systems Manager de mettre à jour, de gérer et de configurer ces ressources. Nous vous recommandons de rechercher les nouvelles versions, ou d'automatiser les mises à jour de l'agent, au moins toutes les deux semaines. Pour plus d'informations, consultez Automatisation des mises à jour de l'SSM Agent. Nous vous recommandons également de vérifier la signature de SSM Agent dans le cadre de votre processus de mise à jour. Pour plus d’informations, veuillez consulter Vérification de la signature de SSM Agent.

  • AWS CLI — The AWS Command Line Interface (AWS CLI) est un outil open source qui vous permet d'interagir à AWS services l'aide de commandes dans votre interface de ligne de commande. Pour mettre à jour le AWS CLI, vous devez exécuter la même commande que celle utilisée pour installer le AWS CLI. Nous vous recommandons de créer une tâche planifiée sur votre ordinateur local pour exécuter la commande appropriée pour votre système d'exploitation au moins une fois toutes les deux semaines. Pour plus d'informations sur les commandes d'installation, consultez la section Installation de la AWS CLI version 2 dans le guide de AWS Command Line Interface l'utilisateur.

  • AWS Tools for Windows PowerShell — Les outils pour Windows PowerShell sont un ensemble de PowerShell modules basés sur les fonctionnalités proposées par le AWS SDK pour .NET. Ils vous AWS Tools for Windows PowerShell permettent de scripter des opérations sur vos AWS ressources à partir de la ligne de PowerShell commande. Régulièrement, à mesure que des versions mises à jour des Outils pour Windows PowerShell sont publiées, vous devez mettre à jour la version que vous exécutez localement. Pour plus d'informations, consultez la section Mise à AWS Tools for Windows PowerShell jour du sous Windows ou Mise à AWS Tools for Windows PowerShell jour du sous Linux ou macOS dans le guide de l'utilisateur d'IAM Policy Simulator.

  • Plugin Session Manager – si les utilisateurs de votre organisation disposant des autorisations nécessaires pour utiliser Session Manager veulent se connecter à un nœud à l'aide de l' AWS CLI, ils doivent d'abord installer le plugin Session Manager sur leurs ordinateurs locaux. Pour mettre à jour le plug-in, vous exécutez la même commande que pour l'installer. Nous vous recommandons de créer une tâche planifiée sur votre ordinateur local pour exécuter la commande appropriée pour votre système d'exploitation au moins une fois toutes les deux semaines. Pour plus d'informations, consultez Installez le Session Manager plugin pour AWS CLI.

  • CloudWatch agent : vous pouvez configurer et utiliser l' CloudWatch agent pour collecter des métriques et des journaux à partir de vos instances EC2, de vos instances sur site et de vos machines virtuelles (VM). Ces journaux peuvent être envoyés à Amazon CloudWatch Logs à des fins de surveillance et d'analyse. Nous vous recommandons de rechercher les nouvelles versions, ou d'automatiser les mises à jour de l'agent, au moins toutes les deux semaines. Pour les mises à jour les plus simples, utilisez la configuration rapide AWS Systems Manager. Pour plus d'informations, consultez AWS Systems Manager Quick Setup.

Bonnes pratiques de surveillance et d'audit pour Systems Manager

Les bonnes pratiques suivantes pour Systems Manager peuvent aider à détecter les vulnérabilités et les incidents de sécurité potentiels.

Identifier et auditer l'intégralité de vos resources Systems Manager

L'identification de vos ressources informatiques est un aspect crucial de la gouvernance et de la sécurité. Vous devez identifier toutes vos ressources Systems Manager pour évaluer leur niveau de sécurité et agir sur les zones de vulnérabilité potentielles.

Utilisez Tag Editor pour identifier les ressources sensibles en termes de sécurité ou d'audit, puis utilisez les balises générées lorsque vous devez rechercher ces ressources. Pour plus d'informations, consultez Recherche de ressources à baliser dans le Guide de l'utilisateur AWS Resource Groups .

Créez des groupes de ressources pour vos ressourcesSystems Manager. Pour plus d'informations, consultez Présentation des groupes de ressources.

Mettre en œuvre la surveillance à l'aide CloudWatch des outils de surveillance Amazon

La surveillance est un enjeu important pour assurer la fiabilité, la sécurité, la disponibilité et les performances d’Systems Manager et de vos solutions AWS . Amazon CloudWatch fournit plusieurs outils et services pour vous aider à surveiller Systems Manager et à surveiller vos autres AWS services. Pour plus d’informations, consultez Envoi des journaux des nœuds vers CloudWatch des journaux unifiés (CloudWatch agent) et Surveillance d'événements Systems Manager avec Amazon EventBridge.

Utiliser CloudTrail

AWS CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service utilisateurSystems Manager. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faiteSystems Manager, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires. Pour plus d’informations, consultez Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail.

Allumez AWS Config

AWS Config vous permet d'évaluer, d'auditer et d'évaluer les configurations de vos AWS ressources. AWS Config surveille les configurations des ressources, ce qui vous permet d'évaluer les configurations enregistrées par rapport aux configurations sécurisées requises. Vous pouvez ainsi examiner les modifications apportées aux configurations et les relations entre les AWS ressources, étudier les historiques détaillés de configuration des ressources et déterminer votre conformité globale par rapport aux configurations spécifiées dans vos directives internes. AWS Config Cela peut vous aider à simplifier le contrôle de la conformité, l'analyse de la sécurité, la gestion des modifications et le diagnostic de défaillances opérationnelles. Pour plus d'informations, consultez Configuration de AWS Config à l'aide de la console dans le Manuel du développeur AWS Config . Lors de la spécification des types de ressource à enregistrer, assurez-vous d'inclure les ressources Systems Manager.

Surveillez les avis AWS de sécurité

Vous devriez consulter régulièrement les avis de sécurité publiés Trusted Advisor pour votre Compte AWS. Vous pouvez le faire par programmation en utilisant. describe-trusted-advisor-checks

De plus, surveillez activement l'adresse e-mail principale enregistrée pour chacun de vos Comptes AWS. AWS vous contactera, à l'aide de cette adresse e-mail, au sujet des problèmes de sécurité émergents susceptibles de vous affecter.

AWS les problèmes opérationnels ayant un impact important sont publiés sur le AWS Service Health Dashboard. Les problèmes opérationnels sont également publiés dans les différents comptes via le tableau de bord d'état personnel. Pour de plus amples d'informations, consultez la documentation AWS Health.

Plus d'informations