Amazon EC2 Systems Manager 제어 - AWS Security Hub
[SSM.1] Amazon EC2 인스턴스는 다음을 통해 관리해야 합니다. AWS Systems Manager[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.[SSM.4] SSM 문서는 공개해서는 안 됩니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EC2 Systems Manager 제어

이러한 제어는 에서 관리하는 Amazon EC2 인스턴스와 관련이 있습니다. AWS Systems Manager

이러한 컨트롤을 모두 AWS 리전사용할 수 있는 것은 아닙니다. 자세한 정보는 리전별 제어 기능 사용 가능 여부을 참조하세요.

[SSM.1] Amazon EC2 인스턴스는 다음을 통해 관리해야 합니다. AWS Systems Manager

관련 요구 사항: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-15(2), NIST.800-53.r5 SA-15(8), NIST.800-53.r5 SA-3, NIST.800-53.r5 SI-2(3)

범주: 식별 > 인벤토리

심각도: 중간

평가된 리소스: AWS::EC2::Instance

필수 AWS Config 기록 리소스:, AWS::EC2::Instance AWS::SSM::ManagedInstanceInventory

AWS Config 규칙: ec2-instance-managed-by-systems-manager

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 계정에서 중지되고 실행 중인 EC2 인스턴스가 에서 관리되는지 여부를 확인합니다. AWS Systems Manager Systems Manager는 AWS 서비스 AWS 인프라를 보고 제어하는 데 사용할 수 있는 도구입니다.

Systems Manager는 보안과 규정 준수를 유지하는 데 도움이 되도록 중지 및 실행 중인 관리형 인스턴스를 검사합니다. 관리형 인스턴스는 Systems Manager에 사용하도록 구성된 시스템입니다. 그런 다음 Systems Manager는 탐지된 모든 정책 위반에 대해 보고하거나 수정 조치를 취합니다. 또한 Systems Manager는 관리형 인스턴스를 구성하고 유지 관리하는 데 도움이 됩니다.

자세한 내용은 AWS Systems Manager 사용 설명서를 참조하십시오.

이제 Security Hub가 와 통합되었습니다

Systems Manager로 EC2 인스턴스를 관리하려면 AWS Systems Manager 사용 설명서Amazon EC2 호스트 관리를 참조하십시오. 구성 옵션 섹션에서 기본 선택 사항을 유지하거나 원하는 구성에 맞게 필요에 따라 변경할 수 있습니다.

[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.

관련 요구 사항: PCI DSS v3.2.1/6.2, NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(3), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)

범주: 감지 > 감지 서비스

심각도: 높음

리소스 유형: AWS::SSM::PatchCompliance

AWS Config 규칙: ec2-managedinstance-patch-compliance-status-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 인스턴스에 패치를 설치한 후 Systems Manager 패치 준수 상태가 COMPLIANT 또는 NON_COMPLIANT인지 확인합니다. 규정 준수 상태가 NON_COMPLIANT인 경우 제어가 실패합니다. 제어는 Systems Manager 패치 관리자가 관리하는 인스턴스만 확인합니다.

조직의 필요에 따라 EC2 인스턴스를 완전히 패치하면 AWS 계정의 공격 표면이 줄어듭니다.

이제 Security Hub가 와 통합되었습니다

Systems Manager는 패치 정책을 사용하여 관리형 인스턴스에 대한 패치를 구성할 것을 권장합니다. 또한 다음 절차에서 설명한 대로 Systems Manager 문서를 사용하여 인스턴스를 패치할 수 있습니다.

규정 미준수 패치를 해결하려면

  1. https://console.aws.amazon.com/systems-manager/ 에서 AWS Systems Manager 콘솔을 엽니다.

  2. 노드 관리에서 명령 실행을 선택한 다음 명령 실행을 선택합니다.

  3. AWS-에 대한 옵션을 선택합니다RunPatchBaseline.

  4. 작업설치로 변경합니다.

  5. 수동으로 인스턴스 선택을 선택한 다음 규정 비준수 인스턴스를 선택합니다.

  6. Run(실행)을 선택합니다.

  7. 명령이 완료된 후 패치가 적용된 인스턴스의 새 규정 준수 상태를 모니터링하려면 탐색 창에서 규정 준수를 선택합니다.

[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.

관련 요구 사항: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2(3)

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::SSM::AssociationCompliance

AWS Config 규칙: ec2-managedinstance-association-compliance-status-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 COMPLIANT 인스턴스에서 AWS Systems Manager 연결이 실행된 NON_COMPLIANT 이후인지 연결 상태인지 여부를 확인합니다. 연결 규정 준수 상태가 NON_COMPLIANT이면 제어가 실패합니다.

State Manager 연결은 관리형 인스턴스에 할당되는 구성입니다. 이러한 구성은 인스턴스에서 관리하려는 상태를 정의합니다. 예를 들어, 연결은 인스턴스에서 안티바이러스 소프트웨어가 설치되어 실행 중이어야 하는지 또는 특정 포트가 닫혀 있어야 하는지를 지정할 수 있습니다.

State Manager 연결을 하나 이상 생성하고 나면 규정 준수 상태 정보를 즉시 볼 수 있습니다. 콘솔에서 또는 AWS CLI 명령 또는 해당 Systems Manager API 작업에 대한 응답으로 규정 준수 상태를 볼 수 있습니다. 연결의 경우 구성 규정 준수에는 규정 준수 상태(Compliant 또는 Non-compliant)가 표시됩니다. 또한 연결에 할당된 심각도 수준(예: Critical 또는 Medium)도 표시됩니다.

State Manager 연결 규정 준수에 대한 자세한 내용은 AWS Systems Manager 사용자 가이드에서 State Manager 연결 규정 준수 정보를 참조하십시오.

이제 Security Hub가 와 통합되었습니다

실패한 연결은 대상 및 SSM 문서 이름을 비롯한 다양한 요인과 관련될 수 있습니다. 이 문제를 해결하려면 먼저 연결 기록을 확인하여 연결을 식별하고 조사해야 합니다. 연결 기록을 보는 방법에 대한 지침은 AWS Systems Manager 사용 설명서연결 기록 보기를 참조하십시오.

조사를 마친 후 연결을 편집하여 식별된 문제를 수정할 수 있습니다. 연결을 편집하여 새 이름, 일정, 심각도 수준 또는 대상을 지정할 수 있습니다. 연결을 편집한 후 새 버전을 AWS Systems Manager 생성합니다. 연결을 편집하는 방법에 대한 지침은 AWS Systems Manager 사용 설명서연결 편집 및 새 버전 생성을 참조하십시오.

[SSM.4] SSM 문서는 공개해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::SSM::Document

AWS Config 규칙: ssm-document-not-public

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 해당 계정이 소유한 AWS Systems Manager 문서가 공개되었는지 여부를 확인합니다. 소유자가 Self인 SSM 문서가 공개되면 이 제어가 실패합니다.

공개된 SSM 문서는 문서에 의도하지 않은 액세스를 허용할 수 있습니다. 공개 SSM 문서는 계정, 리소스, 내부 프로세스에 대한 중요한 정보를 노출할 수 있습니다.

사용 사례에서 퍼블릭 공유가 필요한 경우가 아니면 Self가 소유한 Systems Manager 문서에 대한 퍼블릭 공유 설정을 차단하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

SSM 문서의 공개 공유를 차단하려면 AWS Systems Manager 사용 설명서SSM 문서에 대한 공개 공유 차단을 참조하십시오.