Riparazione delle esposizioni per istanze EC2 - AWS Security Hub
Caratteristiche di errata configurazione delle istanze EC2 Caratteristiche EC2 di raggiungibilità per le istanzeCaratteristiche di vulnerabilità per le istanze EC2

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Riparazione delle esposizioni per istanze EC2

AWS Security Hub può generare risultati sull'esposizione per le istanze di Amazon Elastic Compute Cloud (EC2).

Nella console Security Hub, l' EC2 istanza coinvolta in un rilevamento dell'esposizione e le relative informazioni identificative sono elencate nella sezione Risorse dei dettagli del risultato. A livello di codice, puoi recuperare i dettagli delle risorse con il GetFindingsV2funzionamento dell'API Security Hub.

Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.

Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.

Nota

Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS

Caratteristiche di errata configurazione delle istanze EC2

Di seguito sono riportate le caratteristiche di errata configurazione delle EC2 istanze e le procedure di correzione suggerite.

L' EC2 istanza consente l'accesso a IMDS utilizzando la versione 1

I metadati dell'istanza sono dati sull' EC2 istanza Amazon che le applicazioni possono utilizzare per configurare o gestire l'istanza in esecuzione. Il servizio di metadati dell'istanza (IMDS) è un componente dell'istanza utilizzato dal codice sull'istanza per accedere in modo sicuro ai metadati dell'istanza. Se l'IMDS non è adeguatamente protetto, può diventare un potenziale vettore di attacco, in quanto fornisce l'accesso a credenziali temporanee e ad altri dati di configurazione sensibili. IMDSv2 fornisce una maggiore protezione contro lo sfruttamento attraverso l'autenticazione orientata alla sessione, richiedendo un token di sessione per le richieste di metadati e limitando la durata della sessione. Seguendo i principi di sicurezza standard, ti AWS consiglia di configurare le EC2 istanze Amazon per l'uso IMDSv2 e la disabilitazione IMDSv1.

Verifica la compatibilità delle applicazioni

Prima dell'implementazione IMDSv2, verifica l'istanza per verificarne la compatibilità con IMDSv2. Alcune applicazioni o script potrebbero richiedere funzionalità IMDSv1 di base e una configurazione aggiuntiva. Per ulteriori informazioni sugli strumenti e sui percorsi consigliati per testare la compatibilità delle applicazioni, consulta la Transizione all'utilizzo di Instance Metadata Service versione 2 nella Amazon Elastic Compute Cloud User Guide.

Aggiorna l'istanza da usare IMDSv2

Modifica le istanze esistenti da utilizzare IMDSv2. Per ulteriori informazioni, consulta Modificare le opzioni dei metadati delle istanze per le istanze esistenti nella Amazon Elastic Compute Cloud User Guide.

Applica aggiornamenti alle istanze in un gruppo di Auto Scaling

Se l'istanza fa parte di un gruppo Auto Scaling, aggiorna il modello di lancio o la configurazione di avvio con una nuova configurazione ed esegui un aggiornamento dell'istanza.

Il ruolo IAM associato all' EC2 istanza Amazon ha una politica di accesso amministrativo

Le politiche di accesso amministrativo forniscono EC2 alle istanze Amazon ampie autorizzazioni Servizi AWS e risorse. Queste politiche in genere includono autorizzazioni non richieste per le funzionalità, ad esempio. Fornire un'identità IAM con una politica di accesso amministrativo su un' EC2 istanza Amazon (anziché il set minimo di autorizzazioni richiesto dal ruolo associato al profilo dell'istanza) può aumentare la portata di un attacco se l' EC2 istanza Amazon viene compromessa. Se un'istanza viene compromessa, gli aggressori potrebbero utilizzare queste autorizzazioni eccessive per spostarsi lateralmente all'interno dell'ambiente, accedere ai dati o manipolare le risorse. Seguendo i principi di sicurezza standard, ti consigliamo di concedere i privilegi minimi, il che significa che concedi solo le autorizzazioni necessarie per eseguire un'attività.

Rivedi e identifica le politiche amministrative

Nella dashboard IAM, trova il ruolo con il nome del ruolo. Rivedi la politica di autorizzazione allegata al ruolo IAM. Se la policy è una policy AWS gestita, cerca AdministratorAccess oIAMFullAccess. Altrimenti, nel documento sulla politica, cerca le dichiarazioni con "Effect": "Allow", "Action": "*" e"Resource": "*".

Implementazione dell'accesso con privilegi minimi

Sostituisci le politiche amministrative con politiche che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'istanza. Per ulteriori informazioni sulle best practice di sicurezza per i ruoli IAM, consulta Applica le autorizzazioni con privilegi minimi in Security best practice in the User Guide.AWS Identity and Access Management Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. Per ulteriori informazioni, consulta Findings for external and inused access nella Guida per l'AWS Identity and Access Management utente. In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre applicazioni che utilizzano il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM, quindi associa il nuovo ruolo IAM all'istanza. Per istruzioni su come sostituire un ruolo IAM per un'istanza, consulta Collegare un ruolo IAM a un'istanza nella Amazon Elastic Compute Cloud User Guide.

Considerazioni sulla configurazione sicura

Se per l'istanza sono necessarie autorizzazioni amministrative a livello di servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:

Applica gli aggiornamenti alle istanze in un gruppo con scalabilità automatica

Per EC2 le istanze Amazon in un gruppo di AWS auto scaling, aggiorna il modello di avvio o la configurazione di avvio con il nuovo profilo di istanza ed esegui un aggiornamento dell'istanza. Per informazioni sull'aggiornamento di un modello di lancio, consulta Modificare un modello di lancio (gestire le versioni dei modelli di lancio) nella Amazon Elastic Compute Cloud User Guide. Per ulteriori informazioni, consulta Utilizzare un aggiornamento dell'istanza per aggiornare le istanze in un gruppo di Auto Scaling. Per ulteriori informazioni sull'utilizzo dei ruoli IAM con i gruppi Auto Scaling, consulta il ruolo IAM per le applicazioni eseguite su EC2 istanze Amazon nella Amazon EC2 Auto Scaling User Guide.

Il ruolo IAM associato all' EC2 istanza Amazon ha una politica di amministrazione del servizio

Le politiche di accesso ai servizi forniscono alle EC2 istanze Amazon ampie autorizzazioni per AWS servizi e risorse. Queste politiche in genere includono autorizzazioni che non sono necessarie, ad esempio, per alcune funzionalità. Fornire un'identità IAM con una politica di accesso amministrativo su un' EC2 istanza Amazon anziché il set minimo di autorizzazioni richiesto dal ruolo associato al profilo dell'istanza può aumentare la portata di un attacco se un'istanza viene compromessa. Seguendo i principi di sicurezza standard, ti consigliamo di concedere i privilegi minimi, il che significa che concedi solo le autorizzazioni necessarie per eseguire un'attività.

Rivedi e identifica le politiche amministrative

Nella dashboard IAM, trova il ruolo con il nome del ruolo. Rivedi la politica di autorizzazione allegata al ruolo IAM. Se la policy è una policy AWS gestita, cerca AdministratorAccess oIAMFullAccess. Altrimenti, nel documento sulla politica, cerca le dichiarazioni con "Effect": "Allow", "Action": "*" e"Resource": "*".

Implementazione dell'accesso con privilegi minimi

Sostituisci le politiche di amministrazione del servizio con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'istanza. Per ulteriori informazioni sulle best practice di sicurezza per i ruoli IAM, consulta Applica le autorizzazioni con privilegi minimi in Security best practice in the User Guide.AWS Identity and Access Management Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. Per ulteriori informazioni, consulta Findings for external and inused access nella Guida per l'AWS Identity and Access Management utente. In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre applicazioni che utilizzano il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM, quindi associa il nuovo ruolo IAM all'istanza. Per informazioni sulla sostituzione di un ruolo IAM per un'istanza, consulta Collegare un ruolo IAM a un'istanza nella Amazon Elastic Compute Cloud User Guide

Considerazioni sulla configurazione sicura

Se per l'istanza sono necessarie autorizzazioni amministrative a livello di servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:

Considerazioni sulla configurazione sicura

Se per l'istanza sono necessarie autorizzazioni amministrative a livello di servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:

Applica gli aggiornamenti alle istanze nel gruppo Auto Scaling

Per EC2 le istanze Amazon in un gruppo di AWS auto scaling, aggiorna il modello di avvio o la configurazione di avvio con il nuovo profilo di istanza ed esegui un aggiornamento dell'istanza. Per informazioni sull'aggiornamento di un modello di lancio, consulta Modificare un modello di lancio (gestire le versioni dei modelli di lancio) nella Amazon Elastic Compute Cloud User Guide. Per ulteriori informazioni, consulta Utilizzare un aggiornamento dell'istanza per aggiornare le istanze in un gruppo di Auto Scaling. Per ulteriori informazioni sull'utilizzo dei ruoli IAM con i gruppi Auto Scaling, consulta il ruolo IAM per le applicazioni eseguite su EC2 istanze Amazon nella Amazon EC2 Auto Scaling User Guide.

L' EC2 istanza Amazon ha un gruppo di sicurezza o un ACL di rete che consente l'accesso SSH o RDP

I protocolli di accesso remoto come SSH e RDP consentono agli utenti di connettersi e gestire EC2 istanze Amazon da postazioni esterne. Quando i gruppi di sicurezza consentono l'accesso illimitato a questi protocolli da Internet, aumentano la superficie di attacco delle tue EC2 istanze Amazon consentendo l'accesso a Internet alla tua istanza. Seguendo i principi di sicurezza standard, ti AWS consiglia di limitare l'accesso remoto a indirizzi o intervalli IP specifici e affidabili.

  1. Modifica le regole dei gruppi di sicurezza

    Limita l'accesso alle tue EC2 istanze Amazon a specifici indirizzi IP affidabili. Limita l'accesso SSH e RDP a specifici indirizzi IP affidabili o usa la notazione CIDR per specificare gli intervalli IP (ad esempio, 198.168.1.0/24). Per modificare le regole dei gruppi di sicurezza, consulta Configura le regole dei gruppi di sicurezza nella Amazon Elastic Compute Cloud User Guide.

L' EC2 istanza Amazon ha un gruppo di sicurezza aperto

I gruppi di sicurezza fungono da firewall virtuali per le tue EC2 istanze Amazon per controllare il traffico in entrata e in uscita. I gruppi di sicurezza aperti, che consentono l'accesso illimitato da qualsiasi indirizzo IP, possono esporre le istanze ad accessi non autorizzati. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso dei gruppi di sicurezza a indirizzi IP e porte specifici.

Rivedi le regole del gruppo di sicurezza e valuta la configurazione corrente

Valuta quali porte sono aperte e accessibili da ampi intervalli IP, ad esempio(0.0.0.0/0 or ::/0). Per istruzioni sulla visualizzazione dei dettagli dei gruppi di sicurezza, consulta DescribeSecurityGroupsil Porting Assistant for .NET API Reference.

Modifica le regole del gruppo di sicurezza

Modifica le regole del gruppo di sicurezza per limitare l'accesso a intervalli o indirizzi IP affidabili specifici. Quando aggiorni le regole del gruppo di sicurezza, prendi in considerazione la possibilità di separare i requisiti di accesso per i diversi segmenti di rete creando regole per ogni intervallo IP di origine richiesto o limitando l'accesso a porte specifiche. Per modificare le regole dei gruppi di sicurezza, consulta Configura le regole dei gruppi di sicurezza nella Amazon EC2 User Guide.

L' EC2 istanza Amazon ha un indirizzo IP pubblico

EC2 Le istanze Amazon con indirizzi IP pubblici sono accessibili pubblicamente da Internet. Sebbene gli indirizzi IP pubblici siano talvolta necessari per le istanze che forniscono servizi a clienti esterni, questi possono essere potenzialmente utilizzati per attaccare i principali destinatari non autorizzati. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'esposizione pubblica delle risorse quando possibile.

Sposta l'istanza in una sottorete privata

Se l'istanza non richiede l'accesso diretto a Internet, valuta la possibilità di spostarla in una sottorete privata all'interno del VPC. Questo rimuoverà il suo indirizzo IP pubblico, consentendogli comunque di comunicare con altre risorse all'interno del tuo VPC. Per ulteriori informazioni, consulta Come posso spostare la mia EC2 istanza Amazon su un'altra sottorete, zona di disponibilità o VPC? nel AWS Knowledge Center.

Configura le istanze per l'avvio senza indirizzi IP pubblici

Se l'istanza è stata avviata in una sottorete pubblica che non richiede indirizzi IP pubblici, la configurazione di avvio può essere modificata per impedire l'assegnazione automatica di indirizzi IP pubblici. Questa funzionalità può essere disabilitata a livello di sottorete o all'avvio di singole istanze. Per ulteriori informazioni, consulta Modificare gli attributi di indirizzo IP della sottorete nella Amazon Virtual Private Cloud User Guide e Amazon Amazon EC2instance IP address nella Amazon Elastic Compute Cloud User Guide.

Metodi di accesso alternativi

Considerate le seguenti opzioni per metodi di accesso alternativi:

  • Utilizza un gateway NAT per la connettività Internet in uscita:

    Per i casi in sottoreti private che richiedono l'accesso a Internet (ad esempio, per scaricare gli aggiornamenti), prendi in considerazione l'utilizzo di un gateway NAT anziché assegnare un indirizzo IP pubblico. Un gateway NAT consente alle istanze in sottoreti private di avviare connessioni in uscita a Internet impedendo al contempo le connessioni in entrata da Internet. Per ulteriori informazioni, consulta i gateway NAT nella Guida per l'utente di Amazon Virtual Private Cloud.

  • Usa Elastic Load Balancing: per le istanze che eseguono applicazioni Web, prendi in considerazione l'utilizzo di un Elastic Load Balancer (LB). LBs può essere configurato per consentire l'esecuzione delle istanze in sottoreti private mentre LB viene eseguito in una sottorete pubblica e gestisce il traffico Internet. Per ulteriori informazioni, consulta Cos'è Elastic Load Balancing? nella Guida per l'utente AWS ELB. Consulta le sottoreti di bilanciamento del carico in AWS Prescriptive Guidance per indicazioni su come scegliere una strategia di adesività per il tuo LB.

Caratteristiche EC2 di raggiungibilità per le istanze

Di seguito sono riportati i tratti di raggiungibilità delle EC2 istanze e le procedure di correzione suggerite.

L' EC2 istanza è raggiungibile tramite Internet

Le EC2 istanze Amazon con porte raggiungibili da Internet tramite un gateway Internet (incluse le istanze basate su Application Load Balancer o Classic Load Balancer), una connessione peering VPC o un gateway virtuale VPN possono esporre l'istanza a Internet. Seguendo i principi di sicurezza standard, consigliamo di implementare controlli di accesso alla rete con privilegi minimi limitando il traffico in entrata solo alle fonti e alle porte necessarie.

Modifica o rimuovi le regole dei gruppi di sicurezza

Nella scheda Risorse, apri la risorsa per Amazon EC2 Security Group. Verifica se è necessario l'accesso a Internet per il funzionamento dell'istanza. Modifica o rimuovi le regole dei gruppi di sicurezza in entrata che consentono l'accesso illimitato (0.0.0.0/0o::/0). Implementa regole più restrittive basate su intervalli IP o gruppi di sicurezza specifici. Se è necessario un accesso pubblico limitato, limita l'accesso a porte e protocolli specifici necessari per la funzione dell'istanza. Per istruzioni sulla gestione delle regole dei gruppi di sicurezza, consulta Configura le regole dei gruppi di sicurezza nella Amazon EC2 User Guide.

Aggiorna rete ACLs

Rivedi e modifica gli elenchi di controllo degli accessi alla rete (ACLs) associati alla sottorete dell'istanza. Verificate che le impostazioni ACL siano in linea con le modifiche del gruppo di sicurezza e non consentano involontariamente l'accesso pubblico. Per istruzioni su come modificare la rete ACLs, consulta Work with network ACLs nella Amazon VPC User Guide.

Metodi di accesso alternativi

Considerate le seguenti opzioni per metodi di accesso alternativi:

  • Usa NAT Gateway per la connettività Internet in uscita: per esempio in sottoreti private che richiedono l'accesso a Internet (ad esempio, per scaricare gli aggiornamenti), prendi in considerazione l'utilizzo di un gateway NAT anziché assegnare un indirizzo IP pubblico. Un gateway NAT consente alle istanze nelle sottoreti private di avviare connessioni in uscita a Internet, impedendo al contempo le connessioni in entrata da Internet. s

  • Usa Systems Manager Session Manager: Session Manager fornisce un accesso sicuro alla shell alle tue EC2 istanze Amazon senza la necessità di porte in ingresso, gestione di chiavi SSH o manutenzione di host bastion.

  • Usa WAF ed Elastic Load Balancing o Application Load Balancer: per le istanze che eseguono applicazioni Web, prendi in considerazione l'utilizzo di un LB AWS combinato con Web Application Firewall (WAF). LBs può essere configurato per consentire l'esecuzione delle istanze in sottoreti private mentre LB viene eseguito in una sottorete pubblica e gestisce il traffico Internet. L'aggiunta di un WAF al sistema di bilanciamento del carico offre una protezione aggiuntiva contro gli exploit Web e i bot.

L' EC2 istanza Amazon è raggiungibile all'interno di Amazon VPC

Amazon Virtual Private Cloud (Amazon VPC) consente di avviare AWS risorse in una rete virtuale definita. Le configurazioni di rete Amazon VPC che consentono l'accesso illimitato tra le istanze possono aumentare la portata di un attacco se un'istanza viene compromessa. Seguendo le best practice di sicurezza, AWS consiglia di implementare la segmentazione della rete e i controlli di accesso con privilegi minimi a livello di sottorete e di gruppo di sicurezza.

Esamina i modelli di connettività di rete Amazon VPC

Nel rilevamento dell'esposizione, identifica l'ID del gruppo di sicurezza nell'ARN. Identifica quali istanze devono comunicare tra loro e su quali porte. Puoi utilizzare Amazon VPC Flow Logs per analizzare i modelli di traffico esistenti nel tuo Amazon VPC e identificare quali porte vengono utilizzate.

Modifica le regole dei gruppi di sicurezza

Modifica le regole del gruppo di sicurezza per limitare l'accesso a intervalli o indirizzi IP affidabili specifici. Ad esempio, invece di consentire tutto il traffico proveniente dall'intero intervallo CIDR VPC (ad esempio 10.0.0.0/16), limita l'accesso a gruppi di sicurezza o intervalli IP specifici. Quando aggiorni le regole del gruppo di sicurezza, valuta la possibilità di separare i requisiti di accesso per i diversi segmenti di rete creando regole per ogni intervallo IP di origine richiesto o limitando l'accesso a porte specifiche. Per modificare le regole dei gruppi di sicurezza, consulta Configura le regole dei gruppi di sicurezza nella Amazon EC2 User Guide.

Valuta la possibilità di organizzare le tue risorse Amazon VPC in sottoreti in base a requisiti o funzioni di sicurezza. Ad esempio, posiziona server Web e server di database in sottoreti separate. Per ulteriori informazioni, consulta Subnet for your VPC nella Amazon Virtual Private Cloud User Guide.

Configura la rete ACLs per la protezione a livello di sottorete

Le liste di controllo degli accessi alla rete (NACLs) forniscono un ulteriore livello di sicurezza a livello di sottorete. A differenza dei gruppi di sicurezza, NACLs sono prive di stato e richiedono la definizione esplicita delle regole in entrata e in uscita. Per ulteriori informazioni, consulta Controllare il traffico di sottorete con le liste di controllo degli accessi alla rete nella Amazon Virtual Private Cloud User Guide.

Ulteriori considerazioni

Considera quanto segue quando limiti l'accesso al tuo Amazon VPC

  • Transit Gateway o Amazon VPC Peering con routing restrittivo: se la tua architettura ne utilizza più di uno VPCs che deve comunicare, prendi in considerazione l'utilizzo di Transit Gateway AWS e Amazon VPC peering per fornire connettività tra Amazon e allo stesso tempo controllare quali sottoreti possono VPCs comunicare tra loro. Per ulteriori informazioni, consulta la sezione Introduzione all'utilizzo dei gateway di transito Amazon VPC e delle connessioni peering VPC.

  • Endpoint di servizio e link privati: gli endpoint Amazon VPC possono essere utilizzati per mantenere il traffico all'interno AWS della rete e comunicare AWS con le risorse anziché su Internet. Ciò riduce la necessità di connettività diretta tra le istanze che accedono agli stessi servizi. Per informazioni sugli endpoint VPC, consulta Cosa sono gli endpoint Amazon VPC? nella Guida per l'utente di Amazon Virtual Private Cloud. Per la connettività ai servizi ospitati in altri Amazon VPCs, prendi in considerazione l'utilizzo AWS PrivateLink.

Caratteristiche di vulnerabilità per le istanze EC2

Di seguito sono riportati i tratti di vulnerabilità delle EC2 istanze e le procedure di correzione suggerite.

EC2 l'istanza presenta vulnerabilità software sfruttabili in rete con un'elevata probabilità di sfruttamento

I pacchetti software installati sulle EC2 istanze possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs I rischi critici CVEs comportano rischi significativi per la sicurezza dell'ambiente. AWS I responsabili non autorizzati possono sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Le vulnerabilità critiche con un'elevata probabilità di sfruttamento rappresentano minacce immediate alla sicurezza, poiché il codice di exploit potrebbe già essere disponibile al pubblico e utilizzato attivamente dagli aggressori o dagli strumenti di scansione automatizzati. Ti consigliamo di correggere queste vulnerabilità per proteggere la tua istanza.

Aggiorna le istanze interessate

Consultate la sezione Riferimenti nella scheda Vulnerabilità della caratteristica. La documentazione del fornitore può includere indicazioni specifiche sulla correzione. Segui la correzione appropriata utilizzando queste linee guida generali:

Usa Systems Manager Patch Manager per applicare le patch sia per i sistemi operativi che per le applicazioni. Patch Manager consente di selezionare e distribuire automaticamente le patch del sistema operativo e del software su grandi gruppi di istanze. Se non hai configurato Patch Manager, aggiorna manualmente il sistema operativo su ogni istanza interessata.

Aggiorna le applicazioni interessate alle versioni sicure più recenti seguendo le procedure consigliate dal fornitore. Per gestire gli aggiornamenti delle applicazioni su più istanze, prendi in considerazione l'utilizzo di Systems Manager State Manager per mantenere il software in uno stato coerente. Se gli aggiornamenti non sono disponibili, prendete in considerazione la possibilità di rimuovere o disabilitare l'applicazione vulnerabile fino al rilascio di una patch o di adottare altre misure di mitigazione, come la limitazione dell'accesso di rete all'applicazione o la disabilitazione delle funzionalità vulnerabili.

Segui i consigli di riparazione specifici forniti nei risultati di Amazon Inspector. Ciò potrebbe comportare la modifica delle regole dei gruppi di sicurezza, la modifica delle configurazioni delle istanze o la regolazione delle impostazioni dell'applicazione.

Controlla se l'istanza fa parte di Auto Scaling Group. L'applicazione di patch sostitutive alle AMI viene eseguita su infrastrutture immutabili aggiornando l'ID AMI configurato per distribuire nuove istanze EC2 Amazon in un gruppo di Auto Scaling. Se utilizzi un' custom/golden AMI, crea un'istanza con la nuova AMI, quindi personalizza l'istanza e crea una nuova AMI dorata. Per ulteriori informazioni, vedi Applicazione delle patch agli aggiornamenti AMI (utilizzo di patched AMIs per i gruppi di Auto Scaling).

Considerazioni future

Per prevenire situazioni future, prendi in considerazione l'implementazione di un programma di gestione delle vulnerabilità. Amazon Inspector può essere configurato per eseguire automaticamente la scansione delle CVEs istanze. Amazon Inspector può anche essere integrato con Security Hub per le riparazioni automatiche. Prendi in considerazione l'implementazione di una pianificazione regolare delle patch utilizzando Systems Manager Maintenance Windows per ridurre al minimo le interruzioni delle istanze.

L' EC2 istanza Amazon presenta vulnerabilità software

I pacchetti software installati su Amazon EC2instances possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs I punti deboli non critici CVEs rappresentano punti deboli di sicurezza con gravità o sfruttabilità inferiori rispetto a quelli critici. CVEs Sebbene queste vulnerabilità rappresentino un rischio meno immediato, gli aggressori possono comunque sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Seguendo le best practice di sicurezza, AWS consiglia di correggere queste vulnerabilità per proteggere l'istanza dagli attacchi.

Aggiorna le istanze interessate

Usa AWS Systems Manager Patch Manager per applicare le patch ai sistemi operativi. Patch Manager consente di selezionare e distribuire automaticamente le patch del sistema operativo e del software su grandi gruppi di istanze. Se non hai configurato Patch Manager, aggiorna manualmente il sistema operativo su ogni istanza interessata.

Aggiorna le applicazioni interessate alle versioni sicure più recenti seguendo le procedure consigliate dal fornitore. Per gestire gli aggiornamenti delle applicazioni su più istanze, prendi in considerazione l'utilizzo di AWS Systems Manager State Manager per mantenere il software in uno stato coerente. Se gli aggiornamenti non sono disponibili, prendete in considerazione la possibilità di rimuovere o disabilitare l'applicazione vulnerabile fino al rilascio di una patch o di adottare altre misure di mitigazione, come la limitazione dell'accesso di rete all'applicazione o la disabilitazione delle funzionalità vulnerabili.

Segui i consigli di riparazione specifici forniti nei risultati di Amazon Inspector. Ciò potrebbe comportare la modifica delle regole dei gruppi di sicurezza, la modifica delle configurazioni delle istanze o la regolazione delle impostazioni dell'applicazione.

Controlla se l'istanza fa parte di Auto Scaling Group. L'applicazione di patch sostitutive alle AMI viene eseguita su infrastrutture immutabili aggiornando l'ID AMI configurato per distribuire nuove istanze EC2 Amazon in un gruppo di Auto Scaling. Se utilizzi un' custom/golden AMI, crea un'istanza con la nuova AMI, quindi personalizza l'istanza e crea una nuova AMI dorata. Per ulteriori informazioni, vedi Applicazione delle patch agli aggiornamenti AMI (utilizzo di patched AMIs per i gruppi di Auto Scaling).

Considerazioni future

Per prevenire situazioni future, prendi in considerazione l'implementazione di un programma di gestione delle vulnerabilità. Amazon Inspector può essere configurato per eseguire automaticamente la scansione delle CVEs istanze. Amazon Inspector può anche essere integrato con Security Hub per le riparazioni automatiche. Prendi in considerazione l'implementazione di una pianificazione regolare delle patch utilizzando Systems Manager Maintenance Windows per ridurre al minimo le interruzioni delle istanze.