Memulihkan eksposur untuk contoh EC2 - AWS Security Hub
Sifat salah konfigurasi untuk instance EC2 Ciri-ciri jangkauan untuk contoh EC2 Ciri-ciri kerentanan untuk contoh EC2

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memulihkan eksposur untuk contoh EC2

AWS Security Hub dapat menghasilkan temuan eksposur untuk instans Amazon Elastic Compute Cloud (EC2).

Di konsol Security Hub, EC2 instance yang terlibat dalam temuan eksposur dan informasi pengenalannya tercantum di bagian Sumber Daya pada detail temuan. Secara terprogram, Anda dapat mengambil detail sumber daya dengan GetFindingsV2pengoperasian Security Hub API.

Setelah mengidentifikasi sumber daya yang terlibat dalam temuan eksposur, Anda dapat menghapus sumber daya jika Anda tidak membutuhkannya. Menghapus sumber daya yang tidak penting dapat mengurangi profil dan AWS biaya eksposur Anda. Jika sumber daya sangat penting, ikuti langkah-langkah remediasi yang direkomendasikan ini untuk membantu mengurangi risiko. Topik remediasi dibagi berdasarkan jenis sifatnya.

Temuan eksposur tunggal berisi masalah yang diidentifikasi dalam beberapa topik remediasi. Sebaliknya, Anda dapat mengatasi temuan eksposur dan menurunkan tingkat keparahannya dengan hanya membahas satu topik remediasi. Pendekatan Anda terhadap remediasi risiko tergantung pada kebutuhan organisasi dan beban kerja Anda.

catatan

Panduan remediasi yang diberikan dalam topik ini mungkin memerlukan konsultasi tambahan dalam AWS sumber daya lain.

Sifat salah konfigurasi untuk instance EC2

Berikut adalah sifat kesalahan konfigurasi untuk EC2 instance dan langkah-langkah remediasi yang disarankan.

EC2 Instans ini memungkinkan akses ke IMDS menggunakan versi 1

Metadata instans adalah data tentang EC2 instans Amazon yang dapat digunakan aplikasi untuk mengonfigurasi atau mengelola instance yang sedang berjalan. Layanan metadata instans (IMDS) adalah komponen pada instans yang menggunakan kode pada instans untuk mengakses metadata instans dengan aman. Jika IMDS tidak diamankan dengan benar, itu bisa menjadi vektor serangan potensial, karena menyediakan akses ke kredensi sementara dan data konfigurasi sensitif lainnya. IMDSv2 memberikan perlindungan yang lebih kuat terhadap eksploitasi melalui otentikasi berorientasi sesi, membutuhkan token sesi untuk permintaan metadata dan membatasi durasi sesi. Mengikuti prinsip keamanan standar, Anda AWS merekomendasikan agar Anda mengonfigurasi EC2 instans Amazon untuk digunakan IMDSv2 dan dinonaktifkan IMDSv1.

Uji kompatibilitas aplikasi

Sebelum menerapkan IMDSv2, uji instans Anda untuk memastikan kompatibilitasnya dengan IMDSv2. Beberapa aplikasi atau skrip mungkin memerlukan IMDSv1 fungsionalitas inti dan memerlukan konfigurasi tambahan. Untuk informasi selengkapnya tentang alat dan jalur yang direkomendasikan untuk menguji kompatibilitas aplikasi, Transisi ke penggunaan Layanan Metadata Instans Versi 2 di Panduan Pengguna Amazon Elastic Compute Cloud.

Perbarui contoh untuk digunakan IMDSv2

Ubah instance yang ada untuk digunakan IMDSv2. Untuk informasi selengkapnya, lihat Memodifikasi opsi metadata instans untuk instans yang ada di Panduan Pengguna Amazon Elastic Compute Cloud.

Menerapkan pembaruan ke instance dalam grup Auto Scaling

Jika instans Anda adalah bagian dari grup Auto Scaling, perbarui template peluncuran atau konfigurasi peluncuran dengan konfigurasi baru, dan lakukan penyegaran instans.

Peran IAM yang terkait dengan EC2 instans Amazon memiliki kebijakan akses administratif

Kebijakan akses administratif memberi EC2 instans Amazon izin Layanan AWS dan sumber daya yang luas. Kebijakan ini biasanya mencakup izin yang tidak diperlukan untuk fungsionalitas misalnya. Memberikan identitas IAM dengan kebijakan akses administratif pada EC2 instans Amazon (bukan set izin minimum yang diperlukan peran yang dilampirkan ke profil instans Anda) dapat meningkatkan cakupan serangan jika EC2 instans Amazon dikompromikan. Jika sebuah instance dikompromikan, penyerang dapat menggunakan izin berlebihan ini untuk bergerak secara lateral di lingkungan Anda, mengakses data, atau memanipulasi sumber daya. Mengikuti prinsip keamanan standar, kami sarankan Anda memberikan hak istimewa paling sedikit, yang berarti Anda hanya memberikan izin yang diperlukan untuk melakukan tugas.

Meninjau dan mengidentifikasi kebijakan administratif

Di dasbor IAM, temukan peran dengan nama peran. Tinjau kebijakan izin yang dilampirkan pada peran IAM. Jika kebijakan tersebut adalah kebijakan AWS terkelola, cari AdministratorAccess atauIAMFullAccess. Jika tidak, dalam dokumen kebijakan, cari pernyataan dengan"Effect": "Allow", "Action": "*", dan"Resource": "*".

Terapkan akses hak akses paling rendah

Ganti kebijakan administratif dengan kebijakan yang hanya memberikan izin khusus yang diperlukan agar instans berfungsi. Untuk informasi selengkapnya tentang praktik terbaik keamanan untuk peran IAM, lihat Menerapkan izin hak istimewa terkecil dalam praktik terbaik Keamanan di Panduan Pengguna.AWS Identity and Access Management Untuk mengidentifikasi izin yang tidak perlu, Anda dapat menggunakan IAM Access Analyzer untuk memahami cara mengubah kebijakan berdasarkan riwayat akses. Untuk informasi selengkapnya, lihat Temuan untuk akses eksternal dan tidak terpakai di Panduan AWS Identity and Access Management Pengguna. Atau, Anda dapat membuat peran IAM baru untuk menghindari dampak aplikasi lain menggunakan peran yang ada. Dalam skenario ini, buat peran IAM baru, lalu kaitkan peran IAM baru dengan instance. Untuk petunjuk cara mengganti peran IAM untuk instance, lihat Melampirkan peran IAM ke instance di Panduan Pengguna Amazon Elastic Compute Cloud.

Pertimbangan konfigurasi yang aman

Jika izin administratif tingkat layanan diperlukan untuk instans, pertimbangkan untuk menerapkan kontrol keamanan tambahan ini untuk mengurangi risiko:

Menerapkan pembaruan ke instance dalam grup penskalaan otomatis

Untuk EC2 instans Amazon dalam grup penskalaan AWS otomatis, perbarui templat peluncuran atau konfigurasi peluncuran dengan profil instans baru, dan lakukan penyegaran instans. Untuk informasi tentang memperbarui template peluncuran, lihat Memodifikasi template peluncuran (mengelola versi template peluncuran) di Panduan Pengguna Amazon Elastic Compute Cloud. Untuk informasi selengkapnya, lihat Menggunakan penyegaran instans untuk memperbarui instance di grup Auto Scaling. Untuk informasi selengkapnya tentang penggunaan peran IAM dengan grup Auto Scaling, lihat peran IAM untuk aplikasi yang berjalan di instans Amazon di Panduan EC2 Pengguna Amazon EC2 Auto Scaling.

Peran IAM yang terkait dengan EC2 instans Amazon memiliki kebijakan admin layanan

Kebijakan akses layanan menyediakan EC2 instans Amazon dengan izin luas untuk AWS layanan dan sumber daya. Kebijakan ini biasanya mencakup izin yang tidak diperlukan untuk fungsionalitas misalnya. Memberikan identitas IAM dengan kebijakan akses administratif pada EC2 instans Amazon, bukan set izin minimum yang dibutuhkan peran yang dilampirkan ke profil instans Anda dapat meningkatkan cakupan serangan jika instance dikompromikan. Mengikuti prinsip keamanan standar, kami menyarankan Anda memberikan hak istimewa paling sedikit, yang berarti Anda hanya memberikan izin yang diperlukan untuk melakukan tugas.

Meninjau dan mengidentifikasi kebijakan administratif

Di dasbor IAM, temukan peran dengan nama peran. Tinjau kebijakan izin yang dilampirkan pada peran IAM. Jika kebijakan tersebut adalah kebijakan AWS terkelola, cari AdministratorAccess atauIAMFullAccess. Jika tidak, dalam dokumen kebijakan, cari pernyataan dengan"Effect": "Allow", "Action": "*", dan"Resource": "*".

Terapkan akses hak akses paling rendah

Ganti kebijakan admin layanan dengan kebijakan yang hanya memberikan izin khusus yang diperlukan agar instance berfungsi. Untuk informasi selengkapnya tentang praktik terbaik keamanan untuk peran IAM, lihat Menerapkan izin hak istimewa terkecil dalam praktik terbaik Keamanan di Panduan Pengguna.AWS Identity and Access Management Untuk mengidentifikasi izin yang tidak perlu, Anda dapat menggunakan IAM Access Analyzer untuk memahami cara mengubah kebijakan berdasarkan riwayat akses. Untuk informasi selengkapnya, lihat Temuan untuk akses eksternal dan tidak terpakai di Panduan AWS Identity and Access Management Pengguna. Atau, Anda dapat membuat peran IAM baru untuk menghindari dampak aplikasi lain yang menggunakan peran yang ada. Dalam skenario ini, buat peran IAM baru, lalu kaitkan peran IAM baru dengan instance. Untuk informasi tentang mengganti peran IAM untuk instance, lihat Melampirkan peran IAM ke instance di Panduan Pengguna Amazon Elastic Compute Cloud

Pertimbangan konfigurasi yang aman

Jika izin administratif tingkat layanan diperlukan untuk instans, pertimbangkan untuk menerapkan kontrol keamanan tambahan ini untuk mengurangi risiko:

Pertimbangan konfigurasi yang aman

Jika izin administratif tingkat layanan diperlukan untuk instans, pertimbangkan untuk menerapkan kontrol keamanan tambahan ini untuk mengurangi risiko:

Menerapkan pembaruan ke instans di grup Auto Scaling

Untuk EC2 instans Amazon dalam grup penskalaan AWS otomatis, perbarui templat peluncuran atau konfigurasi peluncuran dengan profil instans baru, dan lakukan penyegaran instans. Untuk informasi tentang memperbarui template peluncuran, lihat Memodifikasi template peluncuran (mengelola versi template peluncuran) di Panduan Pengguna Amazon Elastic Compute Cloud. Untuk informasi selengkapnya, lihat Menggunakan penyegaran instans untuk memperbarui instance di grup Auto Scaling. Untuk informasi selengkapnya tentang penggunaan peran IAM dengan grup Auto Scaling, lihat peran IAM untuk aplikasi yang berjalan di instans Amazon di Panduan EC2 Pengguna Amazon EC2 Auto Scaling.

EC2 Instans Amazon memiliki grup keamanan atau ACL jaringan yang memungkinkan akses SSH atau RDP

Protokol akses jarak jauh seperti SSH dan RDP memungkinkan pengguna untuk terhubung dan mengelola instans Amazon EC2 dari lokasi eksternal. Ketika grup keamanan mengizinkan akses tidak terbatas ke protokol ini dari internet, mereka meningkatkan permukaan serangan EC2 instance Amazon Anda dengan mengizinkan akses internet ke instans Anda. Mengikuti prinsip keamanan standar, AWS merekomendasikan Anda membatasi akses jarak jauh ke alamat atau rentang IP tertentu dan tepercaya.

  1. Ubah aturan grup keamanan

    Batasi akses ke EC2 instans Amazon Anda ke alamat IP tepercaya tertentu. Batasi akses SSH dan RDP ke alamat IP tepercaya tertentu, atau gunakan notasi CIDR untuk menentukan rentang IP (misalnya, 198.168.1.0/24). Untuk mengubah aturan grup keamanan, lihat Mengonfigurasi aturan grup keamanan di Panduan Pengguna Amazon Elastic Compute Cloud.

EC2 Instans Amazon memiliki grup keamanan terbuka

Grup keamanan bertindak sebagai firewall virtual untuk EC2 instans Amazon Anda untuk mengontrol lalu lintas masuk dan keluar. Grup keamanan terbuka, yang memungkinkan akses tidak terbatas dari alamat IP apa pun, dapat mengekspos instans Anda ke akses yang tidak sah. Mengikuti prinsip keamanan standar, AWS merekomendasikan untuk membatasi akses grup keamanan ke alamat IP dan port tertentu.

Tinjau aturan grup keamanan dan nilai konfigurasi saat ini

Evaluasi port mana yang terbuka dan dapat diakses dari rentang IP yang luas, seperti(0.0.0.0/0 or ::/0). Untuk petunjuk tentang melihat detail grup keamanan, lihat DescribeSecurityGroupsdi Asisten Porting untuk Referensi API.NET.

Ubah aturan grup keamanan

Ubah aturan grup keamanan Anda untuk membatasi akses ke alamat atau rentang IP tepercaya tertentu. Saat memperbarui aturan grup keamanan Anda, pertimbangkan untuk memisahkan persyaratan akses untuk segmen jaringan yang berbeda dengan membuat aturan untuk setiap rentang IP sumber yang diperlukan atau membatasi akses ke port tertentu. Untuk mengubah aturan grup keamanan, lihat Mengonfigurasi aturan grup keamanan di Panduan EC2 Pengguna Amazon.

EC2 Instans Amazon memiliki alamat IP publik

EC2 Instans Amazon dengan alamat IP publik dapat diakses publik dari internet. Sementara alamat IP publik kadang-kadang diperlukan untuk contoh yang menyediakan layanan kepada pelanggan eksternal, ini dapat digunakan sebagai potensi dengan menyerang prinsipal yang tidak sah. Mengikuti prinsip keamanan standar, AWS merekomendasikan agar Anda membatasi paparan sumber daya publik bila memungkinkan.

Pindahkan instance ke subnet pribadi

Jika instans tidak memerlukan akses internet langsung, pertimbangkan untuk memindahkannya ke subnet pribadi dalam VPC Anda. Ini akan menghapus alamat IP publiknya sambil tetap memungkinkannya untuk berkomunikasi dengan sumber daya lain dalam VPC Anda. Untuk informasi selengkapnya, lihat Bagaimana cara memindahkan EC2 instans Amazon ke subnet lain, Availability Zone, atau VPC? di pusat AWS pengetahuan.

Konfigurasikan instance untuk diluncurkan tanpa alamat IP publik

Jika instance diluncurkan di subnet publik yang tidak memerlukan alamat IP publik, konfigurasi peluncuran dapat dimodifikasi untuk mencegah penetapan otomatis alamat IP publik. Ini dapat dinonaktifkan di tingkat subnet atau saat meluncurkan instance individual. Untuk informasi selengkapnya, lihat Memodifikasi atribut pengalamatan IP subnet Anda di Panduan Pengguna Amazon Virtual Private Cloud dan EC2instance alamat IP Amazon Amazon di Panduan Pengguna Amazon Elastic Compute Cloud.

Metode akses alternatif

Pertimbangkan opsi berikut untuk metode akses alternatif:

  • Gunakan NAT Gateway untuk konektivitas internet keluar

    Untuk contoh di subnet pribadi yang memerlukan akses ke internet (misalnya, untuk mengunduh pembaruan), pertimbangkan untuk menggunakan NAT Gateway alih-alih menetapkan alamat IP publik. NAT Gateway memungkinkan instance di subnet pribadi untuk memulai koneksi keluar ke internet sambil mencegah koneksi masuk dari internet. Untuk informasi selengkapnya, lihat gateway NAT di Panduan Pengguna Amazon Virtual Private Cloud.

  • Gunakan Elastic Load Balancing — Untuk contoh yang menjalankan aplikasi web, pertimbangkan untuk menggunakan Elastic Load Balancer (LB). LBs dapat dikonfigurasi untuk memungkinkan instance Anda berjalan di subnet pribadi sementara LB berjalan di subnet publik dan menangani lalu lintas internet. Untuk informasi selengkapnya, lihat Apa itu Elastic Load Balancing? di Panduan Pengguna AWS ELB. Lihat Subnet penyeimbang beban di Panduan AWS Preskriptif untuk panduan tentang cara memilih strategi lengket untuk LB Anda.

Ciri-ciri jangkauan untuk contoh EC2

Berikut adalah ciri-ciri jangkauan untuk EC2 contoh dan langkah-langkah remediasi yang disarankan.

EC2 Contoh ini dapat dijangkau melalui internet

EC2 Instans Amazon dengan port yang dapat dijangkau dari internet melalui gateway internet (termasuk contoh di belakang Application Load Balancers atau Classic Load Balancers), koneksi peering VPC, atau gateway virtual VPN dapat mengekspos instans Anda ke internet. Mengikuti prinsip keamanan standar, kami merekomendasikan untuk menerapkan kontrol akses jaringan dengan hak istimewa paling rendah dengan membatasi lalu lintas masuk hanya ke sumber dan port yang diperlukan.

Memodifikasi atau menghapus aturan grup keamanan

Di tab Sumber Daya, buka sumber daya untuk Grup EC2 Keamanan Amazon. Tinjau apakah akses internet diperlukan agar instance berfungsi. Ubah atau hapus aturan grup keamanan masuk yang mengizinkan akses tidak terbatas (0.0.0.0/0atau::/0). Menerapkan aturan yang lebih ketat berdasarkan rentang IP tertentu atau grup keamanan. Jika akses publik terbatas diperlukan, batasi akses ke port dan protokol tertentu yang diperlukan untuk fungsi instans. Untuk petunjuk tentang mengelola aturan grup keamanan, lihat Mengonfigurasi aturan grup keamanan di Panduan EC2 Pengguna Amazon.

Perbarui jaringan ACLs

Meninjau dan memodifikasi daftar kontrol akses jaringan (ACLs) yang terkait dengan subnet instance. Verifikasi bahwa pengaturan ACL sejajar dengan grup keamanan berubah dan jangan secara tidak sengaja mengizinkan akses publik. Untuk petunjuk tentang memodifikasi jaringan ACLs, lihat Bekerja dengan jaringan ACLs di Panduan Pengguna Amazon VPC.

Metode akses alternatif

Pertimbangkan opsi berikut untuk metode akses alternatif:

  • Gunakan NAT Gateway untuk konektivitas internet keluar — Untuk contoh di subnet pribadi yang memerlukan akses ke internet (misalnya, untuk mengunduh pembaruan), pertimbangkan untuk menggunakan NAT Gateway alih-alih menetapkan alamat IP publik. NAT Gateway memungkinkan instance di subnet pribadi untuk memulai koneksi keluar ke internet sambil mencegah koneksi masuk dari internet.

  • Gunakan Systems Manager Session Manager — Session Manager menyediakan akses shell aman ke EC2 instans Amazon Anda tanpa perlu port masuk, mengelola kunci SSH, atau memelihara host bastion.

  • Gunakan WAF dan Elastic Load Balancing atau Application Load Balancer — Untuk contoh yang menjalankan aplikasi web, pertimbangkan untuk menggunakan LB yang AWS dikombinasikan dengan Web Application Firewall (WAF). LBs dapat dikonfigurasi untuk memungkinkan instance Anda berjalan di subnet pribadi sementara LB berjalan di subnet publik dan menangani lalu lintas internet. Menambahkan WAF ke penyeimbang beban Anda memberikan perlindungan tambahan terhadap eksploitasi web dan bot.

EC2 Instans Amazon dapat dijangkau dalam VPC Amazon

Amazon Virtual Private Cloud (Amazon VPC) memungkinkan Anda meluncurkan AWS sumber daya di jaringan virtual yang ditentukan. Konfigurasi jaringan Amazon VPC yang memungkinkan akses tak terbatas antar instance dapat meningkatkan cakupan serangan jika instance dikompromikan. Mengikuti praktik terbaik keamanan, AWS merekomendasikan penerapan segmentasi jaringan dan kontrol akses hak istimewa paling rendah di tingkat subnet dan grup keamanan.

Tinjau pola konektivitas jaringan Amazon VPC

Dalam temuan eksposur, identifikasi ID grup keamanan di ARN. Identifikasi contoh mana yang perlu berkomunikasi satu sama lain dan di port mana. Anda dapat menggunakan Amazon VPC Flow Logs untuk menganalisis pola lalu lintas yang ada di VPC Amazon Anda untuk membantu mengidentifikasi port mana yang sedang digunakan.

Ubah aturan grup keamanan

Ubah aturan grup keamanan Anda untuk membatasi akses ke alamat atau rentang IP tepercaya tertentu. Misalnya, alih-alih mengizinkan semua lalu lintas dari seluruh rentang CIDR VPC (misalnya, 10.0.0.0/16), batasi akses ke grup keamanan atau rentang IP tertentu. Saat memperbarui aturan grup keamanan Anda, pertimbangkan untuk memisahkan persyaratan akses untuk segmen jaringan yang berbeda dengan membuat aturan untuk setiap rentang IP sumber yang diperlukan atau membatasi akses ke port tertentu. Untuk mengubah aturan grup keamanan, lihat Mengonfigurasi aturan grup keamanan di Panduan EC2 Pengguna Amazon.

Pertimbangkan untuk mengatur sumber daya Amazon VPC Anda ke dalam subnet berdasarkan persyaratan atau fungsi keamanan. Misalnya, tempatkan server web dan server database di subnet terpisah. Untuk informasi selengkapnya, lihat Subnet untuk VPC Anda di Panduan Pengguna Amazon Virtual Private Cloud.

Konfigurasikan jaringan ACLs untuk perlindungan tingkat subnet

Network Access Control Lists (NACLs) menyediakan lapisan keamanan tambahan di tingkat subnet. Tidak seperti kelompok keamanan, NACLs tidak memiliki kewarganegaraan dan memerlukan aturan masuk dan keluar untuk didefinisikan secara eksplisit. Untuk informasi selengkapnya, lihat Mengontrol lalu lintas subnet dengan daftar kontrol akses jaringan di Panduan Pengguna Amazon Virtual Private Cloud.

Pertimbangan tambahan

Pertimbangkan hal berikut saat membatasi akses ke VPC Amazon Anda

  • Transit Gateway atau Amazon VPC Peering dengan perutean terbatas — Jika arsitektur Anda menggunakan beberapa VPCs yang perlu berkomunikasi, pertimbangkan untuk menggunakan Transit Gateway AWS dan Amazon VPC peering untuk menyediakan konektivitas antara Amazon VPCs sambil memungkinkan Anda mengontrol subnet mana yang dapat berkomunikasi satu sama lain. Untuk informasi selengkapnya, lihat Memulai menggunakan Gateway Transit VPC Amazon dan koneksi peering VPC.

  • Titik akhir layanan dan tautan pribadi - Titik akhir VPC Amazon dapat digunakan untuk menjaga lalu lintas dalam AWS jaringan untuk berkomunikasi AWS dengan sumber daya daripada melalui internet. Ini mengurangi kebutuhan akan konektivitas langsung antara instans yang mengakses layanan yang sama. Untuk informasi tentang titik akhir VPC, lihat Apa itu titik akhir VPC Amazon? di Panduan Pengguna Amazon Virtual Private Cloud. Untuk konektivitas ke layanan yang dihosting di Amazon lain VPCs, pertimbangkan untuk menggunakan AWS PrivateLink.

Ciri-ciri kerentanan untuk contoh EC2

Berikut adalah ciri-ciri kerentanan untuk EC2 contoh dan langkah-langkah remediasi yang disarankan.

EC2 instance memiliki kerentanan perangkat lunak yang dapat dieksploitasi jaringan dengan kemungkinan eksploitasi yang tinggi

Paket perangkat lunak yang diinstal pada EC2 instance dapat diekspos ke Common Vulnerabilities and Exposures (). CVEs Kritis CVEs menimbulkan risiko keamanan yang signifikan terhadap AWS lingkungan Anda. Prinsipal yang tidak sah dapat mengeksploitasi kerentanan yang belum ditambal ini untuk membahayakan kerahasiaan, integritas, atau ketersediaan data, atau untuk mengakses sistem lain. Kerentanan kritis dengan kemungkinan eksploitasi tinggi mewakili ancaman keamanan langsung, karena kode eksploitasi mungkin sudah tersedia untuk umum dan digunakan secara aktif oleh penyerang atau alat pemindaian otomatis. Kami menyarankan untuk menambal kerentanan ini untuk melindungi instans Anda.

Perbarui instance yang terpengaruh

Tinjau bagian Referensi di tab Kerentanan sifat. Dokumentasi vendor dapat mencakup panduan remediasi khusus. Ikuti remediasi yang sesuai menggunakan pedoman umum ini:

Gunakan Systems Manager Patch Manager untuk menerapkan patch untuk sistem operasi dan aplikasi. Patch Manager membantu Anda memilih dan menerapkan sistem operasi dan patch perangkat lunak secara otomatis pada kelompok besar instance. Jika Patch Manager tidak dikonfigurasi, perbarui sistem operasi secara manual pada setiap instance yang terpengaruh.

Perbarui aplikasi yang terpengaruh ke versi aman terbaru mereka mengikuti prosedur yang direkomendasikan vendor. Untuk mengelola pembaruan aplikasi di beberapa instance, pertimbangkan untuk menggunakan Manajer Negara Systems Manager untuk menjaga perangkat lunak Anda dalam keadaan konsisten. Jika pembaruan tidak tersedia, pertimbangkan untuk menghapus atau menonaktifkan aplikasi yang rentan hingga tambalan dirilis atau mitigasi lainnya, seperti membatasi akses jaringan ke aplikasi atau menonaktifkan fitur yang rentan.

Ikuti saran remediasi khusus yang disediakan dalam temuan Amazon Inspector. Ini bisa melibatkan perubahan aturan grup keamanan, memodifikasi konfigurasi instance, atau menyesuaikan pengaturan aplikasi.

Periksa apakah instance tersebut merupakan bagian dari Auto Scaling Group. Penambalan penggantian AMI dilakukan pada infrastruktur yang tidak dapat diubah dengan memperbarui ID AMI yang dikonfigurasi untuk menerapkan instans EC2 Amazon baru dalam grup Auto Scaling. Jika Anda menggunakan custom/golden AMI, buat instance dengan AMI baru, lalu sesuaikan instance dan buat AMI emas baru Untuk informasi selengkapnya, lihat AMI memperbarui patching (menggunakan patch AMIs untuk grup Auto Scaling).

Pertimbangan masa depan

Untuk mencegah terjadinya future, pertimbangkan untuk menerapkan program manajemen kerentanan. Amazon Inspector dapat dikonfigurasi untuk memindai instans Anda CVEs secara otomatis. Amazon Inspector juga dapat diintegrasikan dengan Security Hub untuk perbaikan otomatis. Pertimbangkan untuk menerapkan jadwal patching reguler menggunakan Windows Systems Manager Maintenance untuk meminimalkan gangguan pada instans Anda.

EC2 Instans Amazon memiliki kerentanan perangkat lunak

Paket perangkat lunak yang diinstal di Amazon EC2instances dapat terkena Common Vulnerabilities and Exposures ()CVEs. Nonkritis CVEs mewakili kelemahan keamanan dengan tingkat keparahan atau eksploitasi yang lebih rendah dibandingkan dengan kritis. CVEs Sementara kerentanan ini menimbulkan risiko yang kurang langsung, penyerang masih dapat mengeksploitasi kerentanan yang belum ditambal ini untuk membahayakan kerahasiaan, integritas, atau ketersediaan data, atau untuk mengakses sistem lain. Mengikuti praktik terbaik keamanan, AWS rekomendasikan untuk menambal kerentanan ini untuk melindungi instance Anda dari serangan.

Perbarui instance yang terpengaruh

Gunakan AWS Systems Manager Patch Manager untuk menerapkan patch untuk sistem operasi. Patch Manager membantu Anda memilih dan menerapkan sistem operasi dan patch perangkat lunak secara otomatis pada kelompok besar instance. Jika Patch Manager tidak dikonfigurasi, perbarui sistem operasi secara manual pada setiap instance yang terpengaruh.

Perbarui aplikasi yang terpengaruh ke versi aman terbaru mereka mengikuti prosedur yang direkomendasikan vendor. Untuk mengelola pembaruan aplikasi di beberapa instance, pertimbangkan untuk menggunakan Manajer Negara AWS Systems Manager untuk menjaga perangkat lunak Anda dalam keadaan konsisten. Jika pembaruan tidak tersedia, pertimbangkan untuk menghapus atau menonaktifkan aplikasi yang rentan hingga tambalan dirilis atau mitigasi lainnya, seperti membatasi akses jaringan ke aplikasi atau menonaktifkan fitur yang rentan.

Ikuti saran remediasi khusus yang disediakan dalam temuan Amazon Inspector. Ini bisa melibatkan perubahan aturan grup keamanan, memodifikasi konfigurasi instance, atau menyesuaikan pengaturan aplikasi.

Periksa apakah instance tersebut merupakan bagian dari Auto Scaling Group. Penambalan penggantian AMI dilakukan pada infrastruktur yang tidak dapat diubah dengan memperbarui ID AMI yang dikonfigurasi untuk menerapkan instans EC2 Amazon baru dalam grup Auto Scaling. Jika Anda menggunakan custom/golden AMI, buat instance dengan AMI baru, lalu sesuaikan instance dan buat AMI emas baru Untuk informasi selengkapnya, lihat AMI memperbarui patching (menggunakan patch AMIs untuk grup Auto Scaling).

Pertimbangan masa depan

Untuk mencegah terjadinya future, pertimbangkan untuk menerapkan program manajemen kerentanan. Amazon Inspector dapat dikonfigurasi untuk memindai instans Anda CVEs secara otomatis. Amazon Inspector juga dapat diintegrasikan dengan Security Hub untuk perbaikan otomatis. Pertimbangkan untuk menerapkan jadwal patching reguler menggunakan Windows Systems Manager Maintenance untuk meminimalkan gangguan pada instans Anda.