Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pusat Keamanan Internet (CIS) memindai sistem operasi EC2 instans Amazon
Amazon Inspector CIS scan (CIS scan) benchmark sistem operasi instans EC2 Amazon Anda untuk memastikan Anda mengonfigurasinya sesuai dengan rekomendasi praktik terbaik yang ditetapkan oleh Pusat Keamanan Internet. Tolok Ukur Keamanan CIS
catatan
Standar CIS ditujukan untuk sistem operasi x86_64. Beberapa pemeriksaan mungkin tidak dievaluasi atau mengembalikan instruksi remediasi yang tidak valid pada sumber daya berbasis ARM.
Amazon Inspector melakukan pemindaian CIS pada EC2 instans Amazon target berdasarkan tag instans dan jadwal pemindaian yang ditentukan. Amazon Inspector melakukan serangkaian pemeriksaan instans pada setiap instans yang ditargetkan. Setiap pemeriksaan mengevaluasi apakah konfigurasi sistem Anda memenuhi rekomendasi Tolok Ukur CIS tertentu. Setiap cek memiliki ID cek CIS dan judul, yang sesuai dengan rekomendasi CIS Benchmark untuk platform tersebut. Ketika pemindaian CIS selesai, Anda dapat melihat hasilnya untuk melihat pemeriksaan instance mana yang lulus, dilewati, atau gagal untuk sistem itu.
catatan
Untuk melakukan atau menjadwalkan pemindaian CIS, Anda harus memiliki koneksi internet yang aman. Namun, jika Anda ingin menjalankan pemindaian CIS pada instance pribadi, Anda harus menggunakan titik akhir VPC.
Topik
Persyaratan EC2 instans Amazon untuk pemindaian Amazon Inspector CIS
Untuk menjalankan pemindaian CIS pada EC2 instans Amazon Anda, EC2 instans Amazon harus memenuhi kriteria berikut:
-
Sistem operasi instance adalah salah satu sistem operasi yang didukung untuk pemindaian CIS. Untuk informasi selengkapnya, lihat Sistem operasi dan bahasa pemrograman yang didukung oleh Amazon Inspector.
-
Instans ini adalah instance Amazon EC2 Systems Manager. Untuk informasi selengkapnya, lihat Bekerja dengan Agen SSM di Panduan AWS Systems Manager Pengguna.
-
Plugin Amazon Inspector SSM diinstal pada instance. Amazon Inspector secara otomatis menginstal plugin ini pada instans yang rusak.
-
Instance memiliki profil instance yang memberikan izin kepada SSM untuk mengelola instans dan Amazon Inspector untuk menjalankan pemindaian CIS untuk instance tersebut. Untuk memberikan izin ini, lampirkan ManagedCisPolicy kebijakan Amazon SSMManaged InstanceCore dan AmazonInspector2 ke peran IAM. Kemudian lampirkan peran IAM ke instance Anda sebagai profil instance. Untuk petunjuk cara membuat dan melampirkan profil instans, lihat Bekerja dengan peran IAM di EC2 Panduan Pengguna Amazon.
catatan
Anda tidak diharuskan mengaktifkan inspeksi mendalam Amazon Inspector sebelum menjalankan pemindaian CIS pada instans Amazon Anda. EC2 Jika Anda menonaktifkan inspeksi mendalam Amazon Inspector, Amazon Inspector secara otomatis menginstal Agen SSM, tetapi Agen SSM tidak akan dipanggil untuk menjalankan inspeksi mendalam lagi. Namun, sebagai hasilnya, InspectorLinuxDistributor-do-not-delete asosiasi hadir di akun Anda.
Persyaratan titik akhir Amazon Virtual Private Cloud untuk menjalankan pemindaian CIS pada instans Amazon pribadi EC2
Anda dapat menjalankan pemindaian CIS pada EC2 instans Amazon melalui jaringan Amazon. Namun, jika Anda ingin menjalankan pemindaian CIS pada EC2 instans Amazon pribadi, Anda harus membuat titik akhir Amazon VPC. Titik akhir berikut diperlukan saat Anda membuat titik akhir Amazon VPC untuk Systems Manager:
-
com.amazonaws.region.ec2messages -
com.amazonaws.region.inspector2 -
com.amazonaws.region.s3 -
com.amazonaws.region.ssm -
com.amazonaws.region.ssmmessages
Untuk informasi selengkapnya, lihat Membuat titik akhir Amazon VPC untuk Systems Manager di Panduan Pengguna.AWS Systems Manager
catatan
Saat ini, beberapa Wilayah AWS tidak mendukung amazonaws.com. titik akhir. region.inspector2
Menjalankan pemindaian CIS
Anda dapat menjalankan pemindaian CIS sekali sesuai permintaan atau sebagai pemindaian berulang yang dijadwalkan. Untuk menjalankan pemindaian, pertama-tama Anda membuat konfigurasi pemindaian.
Saat membuat konfigurasi pemindaian, Anda menentukan pasangan nilai kunci tag yang akan digunakan untuk menargetkan instance. Jika Anda adalah administrator yang didelegasikan Amazon Inspector untuk organisasi, Anda dapat menentukan beberapa akun dalam konfigurasi pemindaian, dan Amazon Inspector akan mencari instance dengan tag yang ditentukan di masing-masing akun tersebut. Anda memilih level CIS Benchmark untuk pemindaian. Untuk setiap benchmark, CIS mendukung profil level 1 dan level 2 yang dirancang untuk memberikan garis dasar untuk berbagai tingkat keamanan yang mungkin diperlukan oleh lingkungan yang berbeda.
Level 1 — merekomendasikan pengaturan keamanan dasar penting yang dapat dikonfigurasi pada sistem apa pun. Menerapkan pengaturan ini harus menyebabkan sedikit atau tidak ada gangguan layanan. Tujuan dari rekomendasi ini adalah untuk mengurangi jumlah titik masuk ke sistem Anda, mengurangi risiko keamanan siber Anda secara keseluruhan.
Level 2 — merekomendasikan pengaturan keamanan yang lebih canggih untuk lingkungan dengan keamanan tinggi. Menerapkan pengaturan ini membutuhkan perencanaan dan koordinasi untuk meminimalkan risiko dampak bisnis. Tujuan dari rekomendasi ini adalah untuk membantu Anda mencapai kepatuhan terhadap peraturan.
Level 2 memperluas level 1. Saat Anda memilih Level 2, Amazon Inspector memeriksa semua konfigurasi yang direkomendasikan untuk level 1 dan level 2.
Setelah menentukan parameter untuk pemindaian Anda, Anda dapat memilih apakah akan menjalankannya sebagai pemindaian satu kali, yang berjalan setelah Anda menyelesaikan konfigurasi, atau pemindaian berulang. Pemindaian berulang dapat berjalan setiap hari, mingguan, atau bulanan, pada waktu pilihan Anda.
Tip
Sebaiknya pilih hari dan waktu yang paling tidak memengaruhi sistem Anda saat pemindaian sedang berjalan.
Pertimbangan untuk mengelola pemindaian Amazon Inspector CIS dengan AWS Organizations
Saat Anda menjalankan pemindaian CIS di suatu organisasi, administrator dan akun anggota yang didelegasikan Amazon Inspector berinteraksi dengan konfigurasi pemindaian CIS dan hasil pemindaian secara berbeda.
Bagaimana administrator yang didelegasikan Amazon Inspector dapat berinteraksi dengan konfigurasi pemindaian CIS dan hasil pemindaian
Ketika administrator yang didelegasikan membuat konfigurasi pemindaian, baik untuk semua akun atau akun anggota tertentu, organisasi memiliki konfigurasi tersebut. Konfigurasi pemindaian yang dimiliki organisasi memiliki ARN yang menentukan ID organisasi sebagai pemilik:
arn:aws:inspector2:
Region:111122223333:owner/OrganizationId/cis-configuration/scanId
Administrator yang didelegasikan dapat mengelola konfigurasi pemindaian yang dimiliki organisasi, bahkan jika akun lain membuatnya.
Administrator yang didelegasikan dapat melihat hasil pemindaian untuk akun apa pun di organisasinya.
Jika administrator yang didelegasikan membuat konfigurasi pemindaian dan menetapkan SELF sebagai akun target, administrator yang didelegasikan memiliki konfigurasi pemindaian, meskipun mereka meninggalkan organisasi. Namun, administrator yang didelegasikan tidak dapat mengubah target konfigurasi pemindaian dengan SELF target.
catatan
Adminstrator yang didelegasikan tidak dapat menambahkan tag ke konfigurasi pemindaian CIS yang dimiliki organisasi.
Bagaimana akun anggota Amazon Inspector dapat berinteraksi dengan konfigurasi pemindaian CIS dan hasil pemindaian
Ketika akun anggota membuat konfigurasi pemindaian CIS, ia memiliki konfigurasi. Namun, administrator yang didelegasikan dapat melihat konfigurasi. Jika akun anggota meninggalkan organisasi, administrator yang didelegasikan tidak akan dapat melihat konfigurasi.
catatan
Administrator yang didelegasikan tidak dapat mengedit konfigurasi pemindaian yang dibuat oleh akun anggota.
Akun anggota, administrator yang didelegasikan SELF sebagai target, dan akun mandiri, semuanya memiliki konfigurasi pemindaian yang mereka buat. Konfigurasi pemindaian ini memiliki ARN yang menunjukkan ID akun sebagai pemilik:
arn:aws:inspector2:
Region:111122223333:owner/111122223333/cis-configuration/scanId
Akun anggota dapat melihat hasil pemindaian di akun mereka, termasuk hasil pemindaian dari pindaian CIS yang dijadwalkan administrator yang didelegasikan.
Amazon Inspector memiliki ember Amazon S3 yang digunakan untuk pemindaian Amazon Inspector CIS
Open Vulnerability and Assessment Language (OVAL) adalah upaya keamanan informasi yang menstandarisasi cara menilai dan melaporkan keadaan mesin sistem komputer. Tabel berikut mencantumkan semua bucket Amazon S3 milik Amazon Inspector dengan definisi OVAL yang digunakan untuk pemindaian CIS. Amazon Inspector menampilkan file definisi OVAL yang diperlukan untuk pemindaian CIS. Bucket Amazon S3 milik Amazon Inspector harus diizinkan masuk jika perlu. VPCs
catatan
Detail untuk masing-masing bucket Amazon S3 milik Amazon Inspector berikut tidak dapat berubah. Namun, tabel mungkin diperbarui untuk mencerminkan yang baru didukung Wilayah AWS. Anda tidak dapat menggunakan bucket Amazon S3 milik Amazon Inspector untuk operasi Amazon S3 lainnya atau di bucket Amazon S3 Anda sendiri.
| Ember CIS | Wilayah AWS |
|---|---|
|
|
Eropa (Stockholm) |
|
|
Timur Tengah (Bahrain) |
|
|
Tiongkok (Beijing) |
|
|
Asia Pasifik (Mumbai) |
|
|
Eropa (Paris) |
|
|
Asia Pasifik (Jakarta) |
|
|
AS Timur (Ohio) |
|
|
Afrika (Cape Town) |
|
|
Eropa (Irlandia) |
|
|
Eropa (Frankfurt) |
|
|
Amerika Selatan (Sao Paulo) |
|
|
Asia Pasifik (Hong Kong) |
|
|
AS Timur (Virginia Utara) |
|
|
Asia Pasifik (Seoul) |
|
|
Asia Pasifik (Osaka) |
|
|
Eropa (London) |
|
|
Eropa (Milan) |
|
|
Asia Pasifik (Tokyo) |
|
|
AWS GovCloud (AS-Timur) |
|
|
AWS GovCloud (AS-Barat) |
|
|
AS Barat (Oregon) |
|
|
AS Barat (California Utara) |
|
|
Asia Pasifik (Singapura) |
|
|
Asia Pacific (Sydney) |
|
|
Kanada (Pusat) |
|
|
Tiongkok (Ningxia) |
|
|
Eropa (Zürich) |
