Características de configuração incorreta para instâncias EC2 Características de acessibilidade para instâncias EC2 Traços de vulnerabilidade para EC2 instâncias

Correção de exposições para instâncias EC2

AWS O Security Hub pode gerar descobertas de exposição para instâncias do Amazon Elastic Compute Cloud (EC2).

No console do Security Hub, a EC2 instância envolvida em uma descoberta de exposição e suas informações de identificação estão listadas na seção Recursos dos detalhes da descoberta. Programaticamente, você pode recuperar detalhes do recurso com a GetFindingsV2operação da API do Security Hub.

Depois de identificar o recurso envolvido em uma descoberta de exposição, você pode excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de remediação recomendadas para ajudar a mitigar o risco. Os tópicos de remediação são divididos com base no tipo de característica.

Uma única descoberta de exposição contém problemas identificados em vários tópicos de remediação. Por outro lado, você pode abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de remediação. Sua abordagem para remediação de riscos depende de seus requisitos organizacionais e cargas de trabalho.

nota

A orientação de remediação fornecida neste tópico pode exigir consultas adicionais em outros AWS recursos.

Sumário

Características de configuração incorreta para instâncias EC2

Aqui estão as características de configuração incorreta das EC2 instâncias e as etapas de correção sugeridas.

A EC2 instância permite acesso ao IMDS usando a versão 1

Os metadados da instância são dados sobre sua EC2 instância da Amazon que os aplicativos podem usar para configurar ou gerenciar a instância em execução. O serviço de metadados da instância (IMDS) é um componente na instância que o código na instância usa para acessar metadados da instância com segurança. Se o IMDS não estiver protegido adequadamente, ele pode se tornar um potencial vetor de ataque, pois fornece acesso a credenciais temporárias e outros dados de configuração confidenciais. IMDSv2 fornece proteção mais forte contra exploração por meio de autenticação orientada à sessão, exigindo um token de sessão para solicitações de metadados e limitando a duração da sessão. Seguindo os princípios de segurança padrão, AWS recomenda que você configure as EC2 instâncias da Amazon para uso IMDSv2 e desativação IMDSv1.

Teste a compatibilidade do aplicativo

Antes de implementar IMDSv2, teste sua instância para garantir sua compatibilidade com IMDSv2 o. Alguns aplicativos ou scripts podem exigir IMDSv1 a funcionalidade principal e exigir configuração adicional. Para obter mais informações sobre ferramentas e caminhos recomendados para testar a compatibilidade de aplicativos, faça a transição para o uso do Instance Metadata Service versão 2 no Guia do usuário do Amazon Elastic Compute Cloud.

Atualize a instância a ser usada IMDSv2

Modifique as instâncias existentes para usar IMDSv2. Para obter mais informações, consulte Modificar opções de metadados de instância para instâncias existentes no Guia do usuário do Amazon Elastic Compute Cloud.

Aplique atualizações às instâncias em um grupo de Auto Scaling

Se sua instância fizer parte de um grupo de Auto Scaling, atualize seu modelo de execução ou configuração de execução com uma nova configuração e execute uma atualização da instância.

A função do IAM associada à EC2 instância da Amazon tem uma política de acesso administrativo.

As políticas de acesso administrativo fornecem às EC2 instâncias da Amazon amplas permissões Serviços da AWS e recursos. Essas políticas geralmente incluem permissões não necessárias para a funcionalidade da instância. Fornecer uma identidade do IAM com uma política de acesso administrativo em uma EC2 instância da Amazon (em vez do conjunto mínimo de permissões que a função associada ao seu perfil de instância precisa) pode aumentar o escopo de um ataque se a EC2 instância da Amazon for comprometida. Se uma instância for comprometida, os invasores poderão utilizar essas permissões excessivas para se mover lateralmente pelo ambiente, acessar dados ou manipular recursos. Seguindo os princípios de segurança padrão, recomendamos que você conceda privilégios mínimos, o que significa que você concede somente as permissões necessárias para realizar uma tarefa.

Revise e identifique políticas administrativas

No painel do IAM, encontre a função com o nome da função. Analise a política de permissões anexada à função do IAM. Se a política for AWS gerenciada, procure AdministratorAccess ouIAMFullAccess. Caso contrário, no documento de política, procure declarações com "Effect": "Allow", "Action": "*" "Resource": "*" e.

Implemente o acesso de privilégio mínimo

Substitua as políticas administrativas por políticas que concedam somente as permissões específicas necessárias para que a instância funcione. Para obter mais informações sobre as melhores práticas de segurança para funções do IAM, consulte Aplicar permissões de privilégios mínimos em Práticas recomendadas de segurança no Guia do usuário.AWS Identity and Access Management Para identificar permissões desnecessárias, você pode usar o IAM Access Analyzer para entender como modificar sua política com base no histórico de acesso. Para obter mais informações, consulte Conclusões sobre acesso externo e não utilizado no Guia do AWS Identity and Access Management usuário. Como alternativa, você pode criar uma nova função do IAM para evitar impactar outros aplicativos usando a função existente. Nesse cenário, crie uma nova função do IAM e associe a nova função do IAM à instância. Para obter instruções sobre como substituir uma função do IAM por uma instância, consulte Anexar uma função do IAM a uma instância no Guia do usuário do Amazon Elastic Compute Cloud.

Considerações sobre configuração segura

Se forem necessárias permissões administrativas em nível de serviço para a instância, considere implementar esses controles de segurança adicionais para reduzir os riscos:

Considerações sobre configuração segura
- Autenticação multifatorial (MFA) — A MFA adiciona uma camada de segurança adicional ao exigir uma forma adicional de autenticação. Isso ajuda a evitar o acesso não autorizado, mesmo que as credenciais estejam comprometidas. Para obter mais informações, consulte Exigir autenticação multifator (MFA) no Guia AWS Identity and Access Management do usuário.
- Condições do IAM — A configuração de elementos condicionais permite restringir quando e como as permissões administrativas podem ser usadas com base em fatores como IP de origem ou idade da MFA. Para obter mais informações, consulte Condições de uso nas políticas do IAM para restringir ainda mais o acesso no Guia AWS Identity and Access Management do usuário.
- Limites de permissões — Os limites de permissão estabelecem o máximo de permissões que uma função pode ter, fornecendo proteções para funções com acesso administrativo. Para obter mais informações, consulte Usar limites de permissões para delegar o gerenciamento de permissões em uma conta no Guia do AWS Identity and Access Management usuário.

Aplique atualizações às instâncias em um grupo de auto scaling

Para EC2 instâncias da Amazon em um grupo de AWS auto scaling, atualize o modelo de execução ou a configuração de execução com o novo perfil de instância e execute uma atualização da instância. Para obter informações sobre a atualização de um modelo de lançamento, consulte Modificar um modelo de lançamento (gerenciar versões do modelo de lançamento) no Guia do usuário do Amazon Elastic Compute Cloud. Para obter mais informações, consulte Usar uma atualização de instância para atualizar instâncias em um grupo do Auto Scaling. Para obter mais informações sobre o uso de funções do IAM com grupos do Auto Scaling, consulte Função do IAM para aplicativos executados em EC2 instâncias da Amazon no Guia do usuário do Amazon Auto EC2 Scaling.

A função do IAM associada à EC2 instância da Amazon tem uma política de administração de serviços.

As políticas de acesso ao serviço fornecem às EC2 instâncias da Amazon amplas permissões para AWS serviços e recursos. Essas políticas geralmente incluem permissões que não são necessárias para a funcionalidade da instância. Fornecer uma identidade do IAM com uma política de acesso administrativo em uma EC2 instância da Amazon, em vez do conjunto mínimo de permissões que a função associada ao seu perfil de instância precisa, pode aumentar o escopo de um ataque se uma instância for comprometida. Seguindo os princípios de segurança padrão, recomendamos que você conceda o mínimo de privilégios, o que significa que você concede somente as permissões necessárias para realizar uma tarefa.

Revise e identifique políticas administrativas

Implemente o acesso de privilégio mínimo

Substitua as políticas de administração do serviço por aquelas que concedem somente as permissões específicas necessárias para que a instância funcione. Para obter mais informações sobre as melhores práticas de segurança para funções do IAM, consulte Aplicar permissões de privilégios mínimos em Práticas recomendadas de segurança no Guia do usuário.AWS Identity and Access Management Para identificar permissões desnecessárias, você pode usar o IAM Access Analyzer para entender como modificar sua política com base no histórico de acesso. Para obter mais informações, consulte Conclusões sobre acesso externo e não utilizado no Guia do AWS Identity and Access Management usuário. Como alternativa, você pode criar uma nova função do IAM para evitar o impacto de outros aplicativos que estão usando a função existente. Nesse cenário, crie uma nova função do IAM e associe a nova função do IAM à instância. Para obter informações sobre a substituição de uma função do IAM por uma instância, consulte Anexar uma função do IAM a uma instância no Guia do usuário do Amazon Elastic Compute Cloud

Considerações sobre configuração segura

Se forem necessárias permissões administrativas em nível de serviço para a instância, considere implementar esses controles de segurança adicionais para reduzir os riscos:

Considerações sobre configuração segura

Se forem necessárias permissões administrativas em nível de serviço para a instância, considere implementar esses controles de segurança adicionais para reduzir os riscos:

Autenticação multifatorial (MFA) — A MFA adiciona uma camada de segurança adicional ao exigir uma forma adicional de autenticação. Isso ajuda a evitar o acesso não autorizado, mesmo que as credenciais estejam comprometidas. Para obter mais informações, consulte Exigir autenticação multifator (MFA) no Guia AWS Identity and Access Management do usuário.
Condições do IAM — A configuração de elementos condicionais permite restringir quando e como as permissões administrativas podem ser usadas com base em fatores como IP de origem ou idade da MFA. Para obter mais informações, consulte Condições de uso nas políticas do IAM para restringir ainda mais o acesso no Guia AWS Identity and Access Management do usuário.
Limites de permissões — Os limites de permissão estabelecem o máximo de permissões que uma função pode ter, fornecendo proteções para funções com acesso administrativo. Para obter mais informações, consulte Usar limites de permissões para delegar o gerenciamento de permissões em uma conta no Guia do AWS Identity and Access Management usuário.

Aplique atualizações às instâncias no grupo Auto Scaling

A EC2 instância da Amazon tem um grupo de segurança ou ACL de rede que permite acesso SSH ou RDP.

Protocolos de acesso remoto, como SSH e RDP, permitem que os usuários se conectem e gerenciem EC2 instâncias da Amazon a partir de locais externos. Quando grupos de segurança permitem acesso irrestrito a esses protocolos pela Internet, eles aumentam a superfície de ataque de suas EC2 instâncias da Amazon ao permitir o acesso à sua instância pela Internet. Seguindo os princípios de segurança padrão, AWS recomenda limitar o acesso remoto a endereços IP ou intervalos específicos e confiáveis.

Modificar as regras do grupo de segurança

Restrinja o acesso às suas EC2 instâncias da Amazon a endereços IP confiáveis específicos. Limite o acesso SSH e RDP a endereços IP confiáveis específicos ou use a notação CIDR para especificar intervalos de IP (por exemplo, 198.168.1.0/24). Para modificar as regras do grupo de segurança, consulte Configurar regras do grupo de segurança no Guia do usuário do Amazon Elastic Compute Cloud.

A EC2 instância da Amazon tem um grupo de segurança aberto

Os grupos de segurança atuam como firewalls virtuais para suas EC2 instâncias da Amazon para controlar o tráfego de entrada e saída. Grupos de segurança abertos, que permitem acesso irrestrito de qualquer endereço IP, podem expor suas instâncias ao acesso não autorizado. Seguindo os princípios de segurança padrão, AWS recomenda restringir o acesso do grupo de segurança a endereços IP e portas específicos.

Revise as regras do grupo de segurança e avalie a configuração atual

Avalie quais portas estão abertas e acessíveis a partir de amplos intervalos de IP, como(0.0.0.0/0 or ::/0). Para obter instruções sobre como visualizar os detalhes do grupo de segurança, consulte DescribeSecurityGroupsa Referência de API do Assistente de Portabilidade para o.NET.

Modificar as regras do grupo de segurança

Modifique suas regras de grupo de segurança para restringir o acesso a intervalos ou endereços IP confiáveis específicos. Ao atualizar suas regras de grupo de segurança, considere separar os requisitos de acesso para diferentes segmentos de rede criando regras para cada intervalo de IP de origem necessário ou restringindo o acesso a portas específicas. Para modificar as regras do grupo de segurança, consulte Configurar regras do grupo de segurança no Guia EC2 do usuário da Amazon.

A EC2 instância da Amazon tem um endereço IP público

EC2 As instâncias da Amazon com endereços IP públicos podem ser acessadas publicamente pela Internet. Embora endereços IP públicos às vezes sejam necessários para instâncias que fornecem serviços a clientes externos, isso pode ser usado como um possível ataque a entidades não autorizadas. Seguindo os princípios de segurança padrão, AWS recomenda que você limite a exposição pública dos recursos sempre que possível.

Mova a instância para uma sub-rede privada

Se a instância não exigir acesso direto à Internet, considere movê-la para uma sub-rede privada dentro da sua VPC. Isso removerá seu endereço IP público e, ao mesmo tempo, permitirá que ele se comunique com outros recursos em sua VPC. Para obter mais informações, consulte Como faço para mover minha EC2 instância da Amazon para outra sub-rede, zona de disponibilidade ou VPC? no Centro de AWS Conhecimento.

Configure instâncias para execução sem endereços IP públicos

Se a instância foi executada em uma sub-rede pública que não exige endereços IP públicos, a configuração de execução pode ser modificada para impedir a atribuição automática de endereços IP públicos. Isso pode ser desativado no nível da sub-rede ou ao iniciar instâncias individuais. Para obter mais informações, consulte Modificar os atributos de endereçamento IP da sua sub-rede no Guia do usuário da Amazon Virtual Private Cloud e endereçamento EC2instance IP da Amazon Amazon no Guia do usuário do Amazon Elastic Compute Cloud.

Métodos alternativos de acesso

Considere as seguintes opções para métodos alternativos de acesso:

Use um gateway NAT para conectividade de saída com a Internet —

Para instâncias em sub-redes privadas que exigem acesso à Internet (por exemplo, para baixar atualizações), considere usar um gateway NAT em vez de atribuir um endereço IP público. Um gateway NAT permite que instâncias em sub-redes privadas iniciem conexões de saída com a Internet e, ao mesmo tempo, impeçam conexões de entrada da Internet. Para obter mais informações, consulte gateways NAT no Guia do usuário da Amazon Virtual Private Cloud.
Use o Elastic Load Balancing — Para instâncias que estão executando aplicativos web, considere usar um Elastic Load Balancer (LB). LBs pode ser configurado para permitir que suas instâncias sejam executadas em sub-redes privadas enquanto o LB é executado em uma sub-rede pública e gerencia o tráfego da Internet. Para obter mais informações, consulte O que é o Elastic Load Balancing? no Guia do usuário do AWS ELB. Consulte Sub-redes do balanceador de carga na Orientação AWS prescritiva para obter orientação sobre como escolher uma estratégia de aderência para seu LB.

Características de acessibilidade para instâncias EC2

Aqui estão as características de acessibilidade das EC2 instâncias e as etapas de remediação sugeridas.

A EC2 instância pode ser acessada pela Internet

EC2 Instâncias da Amazon com portas que podem ser acessadas pela Internet por meio de um gateway de Internet (incluindo instâncias por trás de Application Load Balancers ou Classic Load Balancers), uma conexão de emparelhamento de VPC ou um gateway virtual VPN podem expor sua instância à Internet. Seguindo os princípios de segurança padrão, recomendamos implementar controles de acesso à rede com privilégios mínimos restringindo o tráfego de entrada somente às fontes e portas necessárias.

Modificar ou remover regras do grupo de segurança

Na guia Recursos, abra o recurso para o Amazon EC2 Security Group. Verifique se o acesso à Internet é necessário para que a instância funcione. Modifique ou remova as regras de entrada do grupo de segurança que permitem acesso irrestrito (0.0.0.0/0ou::/0). Implemente regras mais restritivas com base em intervalos de IP ou grupos de segurança específicos. Se for necessário acesso público limitado, restrinja o acesso a portas e protocolos específicos necessários para a função da instância. Para obter instruções sobre como gerenciar regras de grupos de segurança, consulte Configurar regras de grupos de segurança no Guia EC2 do usuário da Amazon.

Atualizar rede ACLs

Analise e modifique as listas de controle de acesso à rede (ACLs) associadas à sub-rede da instância. Verifique se as configurações da ACL estão alinhadas com as alterações do grupo de segurança e não permitem o acesso público involuntariamente. Para obter instruções sobre como modificar a rede ACLs, consulte Trabalhar com rede ACLs no Guia do usuário da Amazon VPC.

Métodos alternativos de acesso

Considere as seguintes opções para métodos alternativos de acesso:

Use o NAT Gateway para conectividade de saída com a Internet — Para instâncias em sub-redes privadas que exigem acesso à Internet (por exemplo, para baixar atualizações), considere usar um NAT Gateway em vez de atribuir um endereço IP público. Um gateway NAT permite que instâncias em sub-redes privadas iniciem conexões de saída com a Internet e, ao mesmo tempo, impeçam conexões de entrada da Internet. s
Use o Systems Manager Session Manager — O Session Manager fornece acesso seguro ao shell às suas EC2 instâncias da Amazon sem a necessidade de portas de entrada, gerenciamento de chaves SSH ou manutenção de bastion hosts.
Use WAF e Elastic Load Balancing ou Application Load Balancer — Para instâncias que estão executando aplicativos web, considere usar um LB AWS combinado com o Web Application Firewall (WAF). LBs pode ser configurado para permitir que suas instâncias sejam executadas em sub-redes privadas enquanto o LB é executado em uma sub-rede pública e gerencia o tráfego da Internet. Adicionar um WAF ao seu balanceador de carga fornece proteção adicional contra explorações da web e bots.

A EC2 instância da Amazon pode ser acessada dentro da Amazon VPC

A Amazon Virtual Private Cloud (Amazon VPC) permite que você lance AWS recursos em uma rede virtual definida. As configurações de rede Amazon VPC que permitem acesso irrestrito entre instâncias podem aumentar o escopo de um ataque se uma instância for comprometida. Seguindo as melhores práticas de segurança, AWS recomenda a implementação de segmentação de rede e controles de acesso com privilégios mínimos nos níveis de sub-rede e grupo de segurança.

Analise os padrões de conectividade de rede Amazon VPC

Na descoberta de exposição, identifique o ID do grupo de segurança no ARN. Identifique quais instâncias precisam se comunicar entre si e em quais portas. Você pode usar o Amazon VPC Flow Logs para analisar os padrões de tráfego existentes em sua Amazon VPC para ajudar a identificar quais portas estão sendo usadas.

Modificar as regras do grupo de segurança

Modifique suas regras de grupo de segurança para restringir o acesso a intervalos ou endereços IP confiáveis específicos. Por exemplo, em vez de permitir todo o tráfego de todo o intervalo CIDR da VPC (por exemplo, 10.0.0.0/16), restrinja o acesso a grupos de segurança ou intervalos de IP específicos. Ao atualizar suas regras de grupo de segurança, considere separar os requisitos de acesso para diferentes segmentos de rede criando regras para cada intervalo de IP de origem necessário ou restringindo o acesso a portas específicas. Para modificar as regras do grupo de segurança, consulte Configurar regras do grupo de segurança no Guia EC2 do usuário da Amazon.

Considere organizar seus recursos da Amazon VPC em sub-redes com base nos requisitos ou funções de segurança. Por exemplo, coloque servidores web e servidores de banco de dados em sub-redes separadas. Para obter mais informações, consulte Sub-redes para sua VPC no Guia do usuário da Amazon Virtual Private Cloud.

Configurar a rede ACLs para proteção em nível de sub-rede

As listas de controle de acesso à rede (NACLs) fornecem uma camada adicional de segurança no nível da sub-rede. Diferentemente dos grupos de segurança, não NACLs têm estado e exigem que as regras de entrada e saída sejam definidas explicitamente. Para obter mais informações, consulte Controle o tráfego de sub-rede com listas de controle de acesso à rede no Guia do usuário da Amazon Virtual Private Cloud.

Considerações adicionais

Considere o seguinte ao restringir o acesso à sua Amazon VPC

Transit Gateway ou Amazon VPC Peering com roteamento restritivo — Se sua arquitetura usa vários VPCs que precisam se comunicar, considere usar o Transit Gateway AWS e o Amazon VPC peering para fornecer conectividade entre a Amazon e, ao VPCs mesmo tempo, permitir que você controle quais sub-redes podem se comunicar entre si. Para obter mais informações, consulte Comece a usar os Amazon VPC Transit Gateways e as conexões de emparelhamento de VPC.
Endpoints de serviço e links privados — Os endpoints do Amazon VPC podem ser usados para manter o tráfego na rede e se comunicar AWS com AWS os recursos, em vez de usar a Internet. Isso reduz a necessidade de conectividade direta entre instâncias que acessam os mesmos serviços. Para obter informações sobre endpoints de VPC, consulte O que são endpoints de VPC da Amazon? no Guia do usuário da Amazon Virtual Private Cloud. Para conectividade com serviços hospedados em outros Amazon VPCs, considere usar AWS PrivateLink.

Traços de vulnerabilidade para EC2 instâncias

Aqui estão as características de vulnerabilidade das EC2 instâncias e as etapas de correção sugeridas.

EC2 instância tem vulnerabilidades de software que podem ser exploradas pela rede com alta probabilidade de exploração

Pacotes de software instalados em EC2 instâncias podem ser expostos a vulnerabilidades e exposições comuns (). CVEs Os críticos CVEs representam riscos de segurança significativos para seu AWS ambiente. Diretores não autorizados podem explorar essas vulnerabilidades não corrigidas para comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou para acessar outros sistemas. Vulnerabilidades críticas com alta probabilidade de exploração representam ameaças imediatas à segurança, pois o código de exploração pode já estar disponível publicamente e ser usado ativamente por invasores ou por ferramentas de verificação automatizadas. Recomendamos corrigir essas vulnerabilidades para proteger sua instância.

Atualizar instâncias afetadas

Revise a seção Referências na guia Vulnerabilidade da característica. A documentação do fornecedor pode incluir orientações específicas de remediação. Siga a remediação apropriada usando estas diretrizes gerais:

Use o Systems Manager Patch Manager para aplicar patches para sistemas operacionais e aplicativos. O Patch Manager ajuda você a selecionar e implantar patches de sistema operacional e software automaticamente em grandes grupos de instâncias. Se você não tiver o Patch Manager configurado, atualize manualmente o sistema operacional em cada instância afetada.

Atualize os aplicativos afetados para suas versões seguras mais recentes seguindo os procedimentos recomendados pelo fornecedor. Para gerenciar atualizações de aplicativos em várias instâncias, considere usar o Systems Manager State Manager para manter seu software em um estado consistente. Se as atualizações não estiverem disponíveis, considere remover ou desativar o aplicativo vulnerável até que um patch seja lançado ou outras mitigações, como restringir o acesso à rede ao aplicativo ou desativar recursos vulneráveis.

Siga as recomendações específicas de remediação fornecidas na descoberta do Amazon Inspector. Isso pode envolver a alteração das regras do grupo de segurança, a modificação das configurações da instância ou o ajuste das configurações do aplicativo.

Verifique se a instância faz parte do Auto Scaling Group. A correção de substituição de AMI é feita em infraestruturas imutáveis por meio da atualização do ID da AMI que está configurado para implantar novas instâncias da Amazon EC2 em um grupo de Auto Scaling. Se você estiver usando uma custom/golden AMI, crie uma instância com a nova AMI, personalize a instância e crie uma nova AMI dourada. Para obter mais informações, consulte Correção de atualizações de AMI (uso de patches AMIs para grupos de Auto Scaling).

Considerações futuras

Para evitar futuras ocorrências, considere implementar um programa de gerenciamento de vulnerabilidades. O Amazon Inspector pode ser configurado para verificar automaticamente suas CVEs instâncias. O Amazon Inspector também pode ser integrado ao Security Hub para remediações automáticas. Considere implementar um cronograma regular de patches usando o Systems Manager Maintenance Windows para minimizar a interrupção em suas instâncias.

A EC2 instância da Amazon tem vulnerabilidades de software

Pacotes de software instalados na Amazon EC2instances podem ser expostos a vulnerabilidades e exposições comuns (). CVEs Os não críticos CVEs representam pontos fracos de segurança com menor gravidade ou capacidade de exploração em comparação com os críticos. CVEs Embora essas vulnerabilidades representem menos riscos imediatos, os invasores ainda podem explorar essas vulnerabilidades não corrigidas para comprometer a confidencialidade, a integridade ou a disponibilidade dos dados ou acessar outros sistemas. Seguindo as melhores práticas de segurança, AWS recomenda corrigir essas vulnerabilidades para proteger sua instância contra ataques.

Atualizar instâncias afetadas

Use o AWS Systems Manager Patch Manager para aplicar patches para sistemas operacionais. O Patch Manager ajuda você a selecionar e implantar patches de sistema operacional e software automaticamente em grandes grupos de instâncias. Se você não tiver o Patch Manager configurado, atualize manualmente o sistema operacional em cada instância afetada.

Atualize os aplicativos afetados para suas versões seguras mais recentes seguindo os procedimentos recomendados pelo fornecedor. Para gerenciar atualizações de aplicativos em várias instâncias, considere usar o AWS Systems Manager State Manager para manter seu software em um estado consistente. Se as atualizações não estiverem disponíveis, considere remover ou desativar o aplicativo vulnerável até que um patch seja lançado ou outras mitigações, como restringir o acesso à rede ao aplicativo ou desativar recursos vulneráveis.

Considerações futuras

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Correção de exposições para tabelas do DynamoDB

Correção de exposições para serviços do Amazon ECS