Praktik terbaik keamanan untuk Systems Manager

AWS Systems Manager menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.

Systems Managerpraktik terbaik keamanan preventif

Praktik terbaik berikut ini Systems Manager dapat membantu mencegah insiden keamanan.

Terapkan akses hak akses paling rendah

Saat memberikan izin, Anda memutuskan siapa yang mendapatkan izin apa untuk sumber daya mana. Systems Manager Anda mengizinkan tindakan tertentu yang ingin Anda lakukan di sumber daya tersebut. Oleh karena itu, Anda harus memberikan hanya izin yang diperlukan untuk melaksanakan tugas. Menerapkan akses hak istimewa yang terkecil adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.

Alat bantu berikut tersedia untuk menerapkan akses hak akses paling rendah:

• Kebijakan IAM dan batasan Izin untuk entitas IAM

• Kebijakan kontrol layanan

Gunakan pengaturan yang disarankan SSM Agent saat dikonfigurasi untuk menggunakan proxy

Jika Anda mengonfigurasi SSM Agent untuk menggunakan proxy, gunakan no_proxy variabel dengan alamat IP layanan metadata instans Systems Manager untuk memastikan bahwa panggilan ke Systems Manager tidak mengambil identitas layanan proxy.

Untuk informasi selengkapnya, lihat Mengkonfigurasi SSM Agent untuk menggunakan proxy pada node Linux dan SSM AgentKonfigurasikan untuk menggunakan proxy untuk Windows Server instance.

Gunakan SecureString parameter untuk mengenkripsi dan melindungi data rahasia

DalamParameter Store, kemampuan AWS Systems Manager, SecureString parameter adalah setiap data sensitif yang perlu disimpan dan direferensikan dengan cara yang aman. Jika Anda memiliki data yang tidak ingin pengguna ubah atau referensi dalam teks biasa, seperti kata sandi atau kunci lisensi, buat parameter tersebut SecureString menggunakan tipe data. Parameter Storemenggunakan AWS KMS key in AWS Key Management Service (AWS KMS) untuk mengenkripsi nilai parameter. AWS KMS menggunakan kunci yang dikelola pelanggan atau Kunci yang dikelola AWS saat mengenkripsi nilai parameter. Untuk keamanan maksimal, kami menyarankan untuk menggunakan kunci KMS Anda sendiri. Jika Anda menggunakan Kunci yang dikelola AWS, setiap pengguna dengan izin untuk menjalankan GetParameterdan GetParameterstindakan di akun Anda dapat melihat atau mengambil konten dari semua SecureString parameter. Jika Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi keamanan nilai-nilai SecureString, Anda dapat menggunakan kebijakan IAM dan kebijakan kunci untuk mengelola izin untuk mengenkripsi dan mendekripsi parameter.

Lebih sulit untuk menetapkan kebijakan kontrol akses untuk operasi ini saat menggunakan file Kunci yang dikelola AWS. Misalnya, jika Anda menggunakan an Kunci yang dikelola AWS untuk mengenkripsi SecureString parameter dan tidak ingin pengguna bekerja dengan SecureString parameter, kebijakan IAM pengguna harus secara eksplisit menolak akses ke kunci default.

Untuk informasi selengkapnya, lihat Membatasi akses ke parameter Systems Manager menggunakan kebijakan IAM dan Cara AWS Systems ManagerParameter Store Penggunaan AWS KMS di Panduan AWS Key Management Service Pengembang.

Tentukan allowedValues dan allowedPattern untuk parameter dokumen

Anda dapat memvalidasi input pengguna untuk parameter dalam dokumen Systems Manager (dokumen SSM) dengan mendefinisikan allowedValues dan allowedPattern. Untuk allowedValues, Anda mendefinisikan sebuah array nilai yang diizinkan untuk parameter. Jika pengguna input nilai tidak diperbolehkan, eksekusi gagal untuk memulai. Untuk allowedPattern, Anda menentukan ekspresi reguler yang memvalidasi apakah input pengguna sesuai dengan pola yang ditetapkan untuk parameter. Jika input pengguna tidak cocok dengan pola yang diperbolehkan, eksekusi gagal untuk memulai.

Untuk informasi selengkapnya tentang allowedValues dan allowedPattern, lihat Elemen dan parameter data.

Memblokir berbagi dokumen untuk publik

Kecuali kasus penggunaan Anda mengharuskan berbagi publik diizinkan, sebaiknya aktifkan pengaturan blokir berbagi publik untuk dokumen SSM Anda di bagian Preferensi konsol kumpulan dokumen Systems Manager.

Gunakan Amazon Virtual Private Cloud (Amazon VPC) dan VPC endpoint

Anda dapat menggunakan Amazon VPC untuk meluncurkan AWS sumber daya ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini sangat mirip dengan jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaatnya yaitu menggunakan infrastruktur AWS yang dapat diskalakan.

Dengan menerapkan titik akhir VPC, Anda dapat menghubungkan VPC Anda secara pribadi ke layanan endpoint VPC yang didukung AWS services dan AWS PrivateLink didukung tanpa memerlukan gateway internet, perangkat NAT, koneksi VPN, atau koneksi. AWS Direct Connect Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan sumber daya dalam layanan. Lalu lintas antara VPC Anda dan layanan lainnya tidak meninggalkan jaringan Amazon.

Untuk informasi selengkapnya tentang keamanan Amazon VPC, lihat Meningkatkan keamanan instans EC2 dengan menggunakan titik akhir VPC untuk privasi lalu lintas Systems Manager dan Internetwork di Amazon VPC di Panduan Pengguna Amazon VPC.

Batasi Session Manager pengguna untuk sesi menggunakan perintah interaktif dan dokumen sesi SSM tertentu

Session Manager, kemampuanAWS Systems Manager, menyediakan beberapa metode untuk memulai sesi ke node terkelola Anda. Untuk koneksi yang paling aman, Anda dapat meminta pengguna untuk terhubung menggunakan perintah interaktif metode untuk membatasi interaksi pengguna untuk perintah tertentu atau urutan perintah. Ini membantu Anda mengelola tindakan interaktif yang dapat dilakukan pengguna. Untuk informasi selengkapnya, lihat Memulai sesi (perintah interaktif dan noninteraktif).

Untuk keamanan tambahan, Anda dapat membatasi Session Manager akses ke instans Amazon EC2 tertentu dan dokumen sesi tertentuSession Manager. Anda memberikan atau mencabut Session Manager akses dengan cara ini dengan menggunakan kebijakan AWS Identity and Access Management (IAM). Untuk informasi selengkapnya, lihat Langkah 3: Kontrol akses sesi ke node yang dikelola.

Berikan izin node sementara untuk alur kerja Otomasi

Selama alur kerja di Otomasi, kemampuanAWS Systems Manager, node Anda mungkin memerlukan izin yang diperlukan untuk eksekusi itu saja tetapi tidak untuk operasi lainSystems Manager. Misalnya, alur kerja Otomasi mungkin memerlukan node untuk memanggil operasi API tertentu atau mengakses AWS sumber daya secara khusus selama alur kerja. Jika panggilan atau sumber daya ini adalah panggilan yang ingin Anda batasi aksesnya, Anda dapat memberikan izin tambahan sementara untuk node Anda dalam runbook Otomasi itu sendiri alih-alih menambahkan izin ke profil instans IAM Anda. Pada akhir alur kerja otomatisasi, izin sementara akan dihapus. Untuk informasi selengkapnya, lihat Memberikan izin instans sementara dengan Otomatisasi AWS Systems Manager pada Blog Pengelolaan dan Tata Kelola AWS .

Tetap AWS dan Systems Manager alat up to date

AWS secara teratur merilis versi terbaru dari alat dan plugin yang dapat Anda gunakan dalam Systems Manager operasi Anda AWS . Menjaga agar sumber daya ini tetap mutakhir memastikan bahwa pengguna dan node di akun Anda memiliki akses ke fungsionalitas dan fitur keamanan terbaru di alat ini.

• SSM Agent— AWS Systems Manager Agent (SSM Agent) adalah perangkat lunak Amazon yang dapat diinstal dan dikonfigurasi pada instans Amazon Elastic Compute Cloud (Amazon EC2), server lokal, atau mesin virtual (VM). SSM Agentmemungkinkan Systems Manager untuk memperbarui, mengelola, dan mengkonfigurasi sumber daya ini. Kami merekomendasikan memeriksa versi baru, atau mengotomatisasi pembaruan untuk agen, setidaknya setiap dua minggu. Untuk informasi, lihat Mengotomatiskan pembaruan ke SSM Agent. Kami juga menyarankan untuk memverifikasi tanda tangan SSM Agent sebagai bagian dari proses pembaruan Anda. Untuk informasi, lihat Memverifikasi tanda tangan SSM Agent.

• AWS CLI — The AWS Command Line Interface (AWS CLI) adalah alat open source yang memungkinkan Anda berinteraksi dengan AWS services menggunakan perintah di shell baris perintah Anda. Untuk memperbarui AWS CLI, Anda menjalankan perintah yang sama yang digunakan untuk menginstal file AWS CLI. Kami merekomendasikan membuat tugas terjadwal pada mesin lokal Anda untuk menjalankan perintah yang sesuai untuk sistem operasi Anda setidaknya sekali setiap dua minggu. Untuk informasi tentang perintah instalasi, lihat Menginstal AWS CLI versi 2 di Panduan AWS Command Line Interface Pengguna.

• AWS Tools for Windows PowerShell — Alat untuk Windows PowerShell adalah seperangkat PowerShell modul yang dibangun di atas fungsionalitas yang diekspos oleh AWS SDK for .NET. Ini AWS Tools for Windows PowerShell memungkinkan Anda untuk skrip operasi pada AWS sumber daya Anda dari baris PowerShell perintah. Secara berkala, saat versi terbaru dari Alat untuk Windows PowerShell dirilis, Anda harus memperbarui versi yang Anda jalankan secara lokal. Untuk selengkapnya, lihat AWS Tools for Windows PowerShell Memperbarui Windows atau Memperbarui Linux AWS Tools for Windows PowerShell di Linux atau macOS di Panduan Pengguna Simulator Kebijakan IAM.

• Session ManagerPlugin — Jika pengguna di organisasi Anda dengan izin untuk menggunakan Session Manager ingin terhubung ke node menggunakan AWS CLI, mereka harus terlebih dahulu menginstal Session Manager plugin pada mesin lokal mereka. Untuk memperbarui plugin, Anda menjalankan perintah yang sama seperti yang digunakan untuk menginstal plugin. Kami merekomendasikan membuat tugas terjadwal pada mesin lokal Anda untuk menjalankan perintah yang sesuai untuk sistem operasi Anda setidaknya sekali setiap dua minggu. Untuk informasi, lihat Instal Session Manager plugin untuk AWS CLI.

• CloudWatch agen — Anda dapat mengonfigurasi dan menggunakan CloudWatch agen untuk mengumpulkan metrik dan log dari instans EC2, instans lokal, dan mesin virtual (VM). Log ini dapat dikirim ke Amazon CloudWatch Logs untuk pemantauan dan analisis. Kami merekomendasikan memeriksa versi baru, atau mengotomatisasi pembaruan untuk agen, setidaknya setiap dua minggu. Untuk pembaruan yang paling sederhana, gunakan Pengaturan Cepat AWS Systems Manager. Untuk informasi, lihat AWS Systems Manager Quick Setup.

Systems Managerpemantauan dan audit praktik terbaik

Praktik terbaik berikut ini Systems Manager dapat membantu mendeteksi potensi kelemahan dan insiden keamanan.

Identifikasi dan audit semua Systems Manager sumber daya Anda

Identifikasi aset IT Anda adalah aspek penting dari tata kelola dan keamanan. Anda perlu mengidentifikasi semua sumber Systems Manager daya Anda untuk menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial.

Gunakan Editor Tag untuk mengidentifikasi sumber daya yang sensitif terhadap keamanan atau audit, kemudian gunakan tag tersebut saat Anda perlu mencari sumber daya ini. Untuk informasi selengkapnya, lihat Menemukan sumber daya untuk ditandai di Panduan AWS Resource Groups Pengguna.

Buat grup sumber daya untuk Systems Manager sumber daya Anda. Untuk informasi selengkapnya, lihat Apa itu grup sumber daya?

Menerapkan pemantauan menggunakan alat CloudWatch pemantauan Amazon

Pemantauan adalah bagian penting dari menjaga keandalan, keamanan, ketersediaan, dan kinerja Systems Manager dan AWS solusi Anda. Amazon CloudWatch menyediakan beberapa alat dan layanan untuk membantu Anda memantau Systems Manager dan lainnya AWS services. Untuk informasi selengkapnya, lihat Mengirim log node ke CloudWatch Log terpadu (CloudWatch agen) dan Pemantauan peristiwa Systems Manager dengan Amazon EventBridge.

Gunakan CloudTrail

AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS service dalamSystems Manager. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuatSystems Manager, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. Untuk informasi selengkapnya, lihat Pencatatan panggilan AWS Systems Manager API dengan AWS CloudTrail.

Nyalakan AWS Config

AWS Config memungkinkan Anda untuk menilai, mengaudit, dan mengevaluasi konfigurasi AWS sumber daya Anda. AWS Config memantau konfigurasi sumber daya, memungkinkan Anda mengevaluasi konfigurasi yang direkam terhadap konfigurasi aman yang diperlukan. Dengan menggunakan AWS Config, Anda dapat meninjau perubahan konfigurasi dan hubungan antar AWS sumber daya, menyelidiki riwayat konfigurasi sumber daya terperinci, dan menentukan kepatuhan Anda secara keseluruhan terhadap konfigurasi yang ditentukan dalam pedoman internal Anda. Ini dapat membantu Anda menyederhanakan audit kepatuhan, analisis keamanan, manajemen perubahan, dan pemecahan masalah operasional. Untuk informasi lebih lanjut, lihat Menyiapkan AWS Config dengan Konsol tersebut pada Panduan Developer AWS Config . Saat menentukan jenis sumber daya yang akan direkam, pastikan Anda menyertakan Systems Manager sumber daya.

Pantau saran AWS keamanan

Anda harus secara teratur memeriksa nasihat keamanan yang diposting Trusted Advisor untuk Anda Akun AWS. Anda dapat melakukan ini secara terprogram menggunakan. describe-trusted-advisor-checks

Selanjutnya, secara aktif memantau alamat email utama yang terdaftar untuk masing-masing Anda Akun AWS. AWS akan menghubungi Anda, menggunakan alamat email ini, tentang masalah keamanan yang muncul yang mungkin memengaruhi Anda.

AWS Masalah operasional dengan dampak luas diposting di AWS Service Health Dashboard. Masalah operasional juga di-posting ke akun individu melalui Personal Health Dashboard. Untuk informasi selengkapnya, lihat Dokumentasi AWS Health.

Info lebih lanjut

• Praktik Terbaik untuk Keamanan, Identitas, & Kepatuhan

• Memulai: Ikuti Praktik Terbaik Keamanan saat Anda Mengkonfigurasi AWS Sumber Daya Anda (Blog AWS Keamanan)

• Praktik terbaik keamanan di IAM

• Praktik terbaik keamanan di AWS CloudTrail

• Praktik Terbaik Keamanan untuk Amazon S3

• Praktik terbaik keamanan untuk AWS Key Management Service