Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für Systems Manager

Diese AWS Security Hub Kontrollen bewerten den AWS Systems Manager (SSM) -Service und die Ressourcen. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

Verwandte Anforderungen: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8), NIST.800-53.r5 SA-1 NIST.800-53.R5 SI-2 (3) NIST.800-53.r5 SA-3

Kategorie: Identifizieren > Bestand

Schweregrad: Mittel

Evaluierte Ressource: AWS::EC2::Instance

Erforderliche AWS Config Aufzeichnungsressourcen:AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory

AWS Config -Regel: ec2-instance-managed-by-systems-manager

Art des Zeitplans: Änderung ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die gestoppten und laufenden EC2 Instances in Ihrem Konto von verwaltet werden AWS Systems Manager. Systems Manager ist ein AWS-Service Programm, mit dem Sie Ihre AWS Infrastruktur anzeigen und steuern können.

Um Sie bei der Aufrechterhaltung von Sicherheit und Compliance zu unterstützen, scannt Systems Manager Ihre gestoppten und laufenden verwalteten Instances. Eine verwaltete Instanz ist eine Maschine, die für die Verwendung mit Systems Manager konfiguriert ist. Systems Manager meldet dann alle festgestellten Richtlinienverstöße oder ergreift Korrekturmaßnahmen. Systems Manager hilft Ihnen auch bei der Konfiguration und Wartung Ihrer verwalteten Instanzen.

Weitere Informationen finden Sie im AWS Systems Manager Benutzerhandbuch.

Abhilfe

Informationen zur Verwaltung von EC2 Instances mit Systems Manager finden Sie unter Amazon EC2 Host Management im AWS Systems Manager Benutzerhandbuch. Im Abschnitt Konfigurationsoptionen können Sie die Standardoptionen beibehalten oder sie nach Bedarf für Ihre bevorzugte Konfiguration ändern.

[SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten nach einer Patch-Installation den Patch-Compliance-Status COMPLIANT haben

Verwandte Anforderungen: NIST.800-53.R5 CM-8 (3), NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (3), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5), NIST.800-171.r2 3.7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Hoch

Art der Ressource: AWS::SSM::PatchCompliance

AWS Config -Regel: ec2-managedinstance-patch-compliance-status-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement überprüft, ob der Konformitätsstatus von Systems Manager Patch Compliance COMPLIANT oder NON_COMPLIANT nach der Patch-Installation auf der Instanz ist. Die Kontrolle schlägt fehl, wenn der Konformitätsstatus lautetNON_COMPLIANT. Das Steuerelement überprüft nur Instanzen, die von Systems Manager Patch Manager verwaltet werden.

Durch das Patchen Ihrer EC2 Instanzen gemäß den Anforderungen Ihres Unternehmens wird die Angriffsfläche Ihrer AWS-Konten Instanzen reduziert.

Abhilfe

Systems Manager empfiehlt die Verwendung von Patch-Richtlinien, um das Patchen für Ihre verwalteten Instanzen zu konfigurieren. Sie können auch Systems Manager Manager-Dokumente verwenden, wie im folgenden Verfahren beschrieben, um eine Instanz zu patchen.

[SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status COMPLIANT haben

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-8, NIST.800-53.R5 CM-8 (1), NIST.800-53.R5 CM-8 (3), NIST.800-53.r5 SI-2 (3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Art der Ressource: AWS::SSM::AssociationCompliance

AWS Config -Regel: ec2-managedinstance-association-compliance-status-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Mit diesem Steuerelement wird geprüft, ob der Status der AWS Systems Manager Zuordnung auf einer Instanz den Status „Konformität“ hat COMPLIANT oder NON_COMPLIANT nachdem die Zuordnung ausgeführt wurde. Die Kontrolle schlägt fehl, wenn der Konformitätsstatus der Assoziation lautetNON_COMPLIANT.

Eine State Manager-Zuordnung ist eine Konfiguration, die Ihren verwalteten Instances zugewiesen ist. Die Konfiguration definiert den Status, den Sie auf Ihren Instances beibehalten möchten. Eine Zuordnung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen.

Nachdem Sie eine oder mehrere State Manager-Zuordnungen erstellt haben, stehen Ihnen sofort Informationen zum Compliance-Status zur Verfügung. Sie können den Konformitätsstatus in der Konsole oder als Reaktion auf AWS CLI Befehle oder entsprechende Systems Manager API-Aktionen anzeigen. Bei Zuordnungen zeigt Configuration Compliance den Konformitätsstatus (CompliantoderNon-compliant) an. Außerdem wird der Schweregrad angezeigt, der der Zuordnung zugewiesen wurde, z. B. Critical oderMedium.

Weitere Informationen zur Einhaltung der State Manager-Zuordnungen finden Sie im AWS Systems Manager Benutzerhandbuch unter Informationen zur Einhaltung von State Manager-Zuordnungen.

Abhilfe

Eine fehlgeschlagene Zuordnung kann auf verschiedene Dinge zurückzuführen sein, z. B. auf Ziele und Systems Manager Manager-Dokumentnamen. Um dieses Problem zu beheben, müssen Sie zunächst die Zuordnung identifizieren und untersuchen, indem Sie sich den Zuordnungsverlauf ansehen. Anweisungen zum Anzeigen des Zuordnungsverlaufs finden Sie unter Zuordnungshistorien anzeigen im AWS Systems Manager Benutzerhandbuch.

Nach der Untersuchung können Sie die Zuordnung bearbeiten, um das festgestellte Problem zu beheben. Sie können eine Zuordnung bearbeiten, um den Namen, den Zeitplan, den Schweregrad oder die Ziele zu ändern. Nachdem Sie eine Zuordnung bearbeitet haben, AWS Systems Manager wird eine neue Version erstellt. Anweisungen zum Bearbeiten einer Zuordnung finden Sie im AWS Systems Manager Benutzerhandbuch unter Bearbeiten und Erstellen einer neuen Version einer Zuordnung.

[SSM.4] SSM-Dokumente sollten nicht öffentlich sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Kritisch

Art der Ressource: AWS::SSM::Document

AWS Config -Regel: ssm-document-not-public

Art des Zeitplans: Periodisch

Parameter: Keine

Mit dieser Kontrolle wird geprüft, ob AWS Systems Manager Dokumente, die einem Konto gehören, öffentlich sind. Die Kontrolle schlägt fehl, wenn Systems Manager Manager-Dokumente, die den Eigentümer habenSelf, öffentlich sind.

Öffentliche Systems Manager Manager-Dokumente ermöglichen möglicherweise unbeabsichtigten Zugriff auf Ihre Dokumente. Ein öffentliches Systems Manager Manager-Dokument kann wertvolle Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse enthalten.

Sofern Ihr Anwendungsfall die öffentliche Freigabe nicht erfordert, empfehlen wir, die öffentliche Freigabe für Systems Manager Manager-Dokumente zu blockieren, die den Eigentümer habenSelf.

Abhilfe

Informationen zur Konfiguration der gemeinsamen Nutzung von Systems Manager Manager-Dokumenten finden Sie unter Freigeben eines SSM-Dokuments im AWS Systems Manager Benutzerhandbuch.

[SSM.5] SSM-Dokumente sollten mit Tags versehen werden

Kategorie: Identifizieren > Inventar > Tagging

Schweregrad: Niedrig

Art der Ressource: AWS::SSM::Document

AWS Config -Regel: ssm-document-tagged

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Dieses Steuerelement prüft, ob ein AWS Systems Manager Dokument über die im requiredKeyTags Parameter angegebenen Tagschlüssel verfügt. Das Steuerelement schlägt fehl, wenn das Dokument keine Tag-Schlüssel oder nicht alle im requiredKeyTags Parameter angegebenen Schlüssel hat. Wenn Sie keine Werte für den requiredKeyTags Parameter angeben, prüft das Steuerelement nur, ob ein Tagschlüssel vorhanden ist, und schlägt fehl, wenn das Dokument keine Tagschlüssel hat. Das Steuerelement ignoriert Systemtags, die automatisch angewendet werden und das aws: Präfix haben. Die Kontrolle bewertet keine Systems Manager Manager-Dokumente, die Amazon gehören.

Ein Tag ist eine Bezeichnung, die Sie erstellen und einer AWS Ressource zuweisen. Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert. Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Sie können Ihnen helfen, Ressourcen zu identifizieren, zu organisieren, zu suchen und zu filtern. Sie können Ihnen auch dabei helfen, Ressourcenbesitzer im Hinblick auf Aktionen und Benachrichtigungen zu verfolgen. Sie können Tags auch verwenden, um die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie zu implementieren. Weitere Informationen zu ABAC-Strategien finden Sie unter Definieren von Berechtigungen auf der Grundlage von Attributen mit ABAC-Autorisierung im IAM-Benutzerhandbuch. Weitere Informationen zu Tags finden Sie im Tagging AWS Resources and Tag Editor User Guide.

Abhilfe

Um einem AWS Systems Manager Dokument Tags hinzuzufügen, können Sie den AddTagsToResourceBetrieb der AWS Systems Manager API verwenden oder, falls Sie die verwenden AWS CLI, den add-tags-to-resourceBefehl ausführen. Sie können auch die AWS Systems Manager -Konsole verwenden.

[SSM.6] Bei SSM Automation sollte die Protokollierung aktiviert sein CloudWatch

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::::Account

AWS Config -Regel: ssm-automation-logging-enabled

Art des Zeitplans: Periodisch

Parameter: Keine

Diese Kontrolle prüft, ob die CloudWatch Amazon-Protokollierung für AWS Systems Manager (SSM) Automation aktiviert ist. Die Kontrolle schlägt fehl, wenn die CloudWatch Protokollierung für SSM Automation nicht aktiviert ist.

SSM Automation ist ein AWS Systems Manager Tool, mit dem Sie automatisierte Lösungen für die skalierbare Bereitstellung, Konfiguration und Verwaltung von AWS Ressourcen mithilfe vordefinierter oder benutzerdefinierter Runbooks erstellen können. Um die Betriebs- oder Sicherheitsanforderungen für Ihr Unternehmen zu erfüllen, müssen Sie möglicherweise eine Aufzeichnung der ausgeführten Skripts bereitstellen. Sie können SSM Automation so konfigurieren, dass die Ausgabe von aws:executeScript Aktionen in Ihren Runbooks an eine von Ihnen angegebene Amazon CloudWatch Logs-Protokollgruppe gesendet wird. Mit CloudWatch Logs können Sie Protokolldateien aus verschiedenen Quellen überwachen, speichern und darauf zugreifen. AWS-Services

Abhilfe

Informationen zur Aktivierung der CloudWatch Protokollierung für SSM Automation finden Sie unter Ausgabe der Automatisierungsaktion protokollieren mit CloudWatch Protokollen im AWS Systems Manager Benutzerhandbuch.

[SSM.7] Bei SSM-Dokumenten sollte die Einstellung „Öffentliches Teilen blockieren“ aktiviert sein

Kategorie: Schützen > Sichere Zugriffsverwaltung > Ressource nicht öffentlich zugänglich

Schweregrad: Kritisch

Art der Ressource: AWS::::Account

AWS Config -Regel: ssm-automation-block-public-sharing

Art des Zeitplans: Periodisch

Parameter: Keine

Dieses Steuerelement prüft, ob die Einstellung Öffentliche Freigabe blockieren für AWS Systems Manager Dokumente aktiviert ist. Die Steuerung schlägt fehl, wenn die Einstellung Öffentliche Freigabe blockieren für Systems Manager Manager-Dokumente deaktiviert ist.

Die Einstellung „Öffentliches Teilen von Dokumenten blockieren“ AWS Systems Manager (SSM) ist eine Einstellung auf Kontoebene. Durch die Aktivierung dieser Einstellung kann unerwünschter Zugriff auf Ihre SSM-Dokumente verhindert werden. Wenn Sie diese Einstellung aktivieren, wirkt sich Ihre Änderung nicht auf SSM-Dokumente aus, die Sie derzeit für die Öffentlichkeit freigeben. Sofern Ihr Anwendungsfall nicht erfordert, dass Sie SSM-Dokumente für die Öffentlichkeit freigeben, empfehlen wir Ihnen, die Einstellung „Öffentliches Teilen blockieren“ zu aktivieren. Die Einstellung kann für jede AWS-Region Einstellung unterschiedlich sein.

Abhilfe

Informationen zur Aktivierung der Einstellung „Öffentliches Teilen blockieren“ für Dokumente AWS Systems Manager (SSM) finden Sie im AWS Systems Manager Benutzerhandbuch unter Öffentliche Freigabe für SSM-Dokumente blockieren.