Bewährte Methoden für vorbeugende Systems Manager-Sicherheitsmaßnahmen Bewährte Methoden für die Installation von SSM Agent Bewährte Methoden zur Überwachung und Prüfung von Systems Manager

AWS Systems ManagerChange Managersteht neuen Kunden nicht mehr offen. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter Änderung der AWS Systems ManagerChange Manager Verfügbarkeit.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit für Systems Manager

AWS Systems Manager bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Themen

Bewährte Methoden für vorbeugende Systems Manager-Sicherheitsmaßnahmen
Bewährte Methoden für die Installation von SSM Agent
Bewährte Methoden zur Überwachung und Prüfung von Systems Manager

Bewährte Methoden für vorbeugende Systems Manager-Sicherheitsmaßnahmen

Die folgenden bewährten Methoden für Systems Manager können dabei helfen, Sicherheitsvorfälle zu verhindern.

Implementieren des Zugriffs mit geringsten Berechtigungen

Beim Erteilen von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche Systems Manager-Ressourcen erhält. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.

Die folgenden Tools stehen zur Implementierung der geringstmöglichen Zugriffsrechte zur Verfügung:

Verwenden Sie die empfohlenen Einstellungen für SSM Agent, wenn Sie für die Verwendung eines Proxys konfiguriert sind

Wenn Sie SSM Agent eines Proxys konfigurieren, verwenden Sie die no_proxy-Variable mit der IP-Adresse des Metadaten-Services der Systems-Manager-Instance, um sicherzustellen, dass Aufrufe von Systems Manager nicht die Identität des Proxyservices annehmen.

Weitere Informationen erhalten Sie unter Konfigurieren Sie SSM Agent, um einen Proxy in Linux-Knoten zu verwenden und Konfigurieren des SSM Agent zur Nutzung eines Proxys für Windows Server-Instances.

Verwenden Sie SecureString Parameter, um geheime Daten zu verschlüsseln und zu schützen

In Parameter Store, ein Tool in AWS Systems Manager, kann ein SecureString-Parameter aus beliebigen vertraulichen Daten bestehen, die auf sichere Weise gespeichert und referenziert werden müssen. Wenn Sie Daten haben, die Benutzer nicht ändern oder im Klartext referenzieren sollen, z. B. Passwörter oder Lizenzschlüssel, erstellen Sie diese Parameter mithilfe des SecureString Datentyps. Parameter Storeverwendet ein AWS KMS key in AWS Key Management Service (AWS KMS), um den Parameterwert zu verschlüsseln. AWS KMS verwendet Von AWS verwalteter Schlüssel beim Verschlüsseln des Parameterwerts entweder einen vom Kunden verwalteten Schlüssel oder einen. Für maximale Sicherheit empfehlen wir die Verwendung eines eigenen KMS-Schlüssel. Wenn Sie den verwenden Von AWS verwalteter Schlüssel, kann jeder Benutzer, der berechtigt ist, die GetParameter GetParametersAND-Aktionen in Ihrem Konto auszuführen, den Inhalt aller SecureString Parameter anzeigen oder abrufen. Wenn Sie vom Kunden verwaltete Schlüssel zur Verschlüsselung Ihrer sicheren SecureString-Werte verwenden, können Sie IAM-Richtlinien und -Schlüsselrichtlinien verwenden, um die Berechtigungen für die Ver- und Entschlüsselung von Parametern zu verwalten.

Es ist schwieriger, Richtlinien für die Zugriffssteuerung für diese Vorgänge zu erstellen, wenn Sie Von AWS verwalteter Schlüssel verwenden. Wenn Sie beispielsweise einen Von AWS verwalteter Schlüssel zum Verschlüsseln von SecureString Parametern verwenden und nicht möchten, dass Benutzer mit SecureString Parametern arbeiten, müssen die IAM-Richtlinien des Benutzers den Zugriff auf den Standardschlüssel ausdrücklich verweigern.

Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Parameter Store-Parameter mithilfe von IAM-Richtlinien und How AWS Systems ManagerParameter Store Uses AWS KMS in the AWS Key Management Service Developer Guide.

Definieren von allowedValues und allowedPattern für Dokumentparameter

Sie können Benutzereingaben für Parameter in Systems Manager-Dokumenten (SSM-Dokumenten) validieren, indem Sie allowedValues und allowedPattern definieren. Für allowedValues definieren Sie ein Array von Werten, die für den Parameter zulässig sind. Wenn ein Benutzer einen Wert eingibt, der nicht zulässig ist, kann die Ausführung nicht gestartet werden. Für allowedPattern definieren Sie einen regulären Ausdruck, der überprüft, ob die Benutzereingabe mit dem definierten Muster für den Parameter übereinstimmt. Wenn die Benutzereingabe nicht mit dem zulässigen Muster übereinstimmt, kann die Ausführung nicht gestartet werden.

Weitere Informationen zu allowedValues und allowedPattern finden Sie unter Datenelemente und Parameter.

Öffentliche Freigabe für Dokumente blockieren

Sofern für Ihren Anwendungsfall keine öffentliche Freigabe erforderlich ist, empfehlen wir Ihnen, die Einstellung zum Blockieren der öffentlichen Freigabe für Ihre SSM-Dokumente im Abschnitt Preferences (Einstellungen) der Systems Manager-Dokumentenkonsole zu aktivieren.

Amazon Virtual Private Cloud (Amazon VPC) und VPC-Endpunkte verwenden

Sie können Amazon VPC verwenden, um AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht weitgehend einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben, kann jedoch die Vorzüge der skalierbaren Infrastruktur von AWS nutzen.

Durch die Implementierung eines VPC-Endpunkts können Sie Ihre VPC privat mit unterstützten AWS-Services und unterstützten VPC-Endpunktdiensten verbinden, AWS PrivateLink ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung erforderlich ist. AWS Direct Connect Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Ressourcen im Service zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht.

Weitere Informationen zur Sicherheit von Amazon VPC finden Sie unter Verbessern der Sicherheit von EC2 Instances durch die Verwendung von VPC-Endpunkten für Systems Manager und Schutz des Netzwerkverkehrs in Amazon VPC im Amazon VPC-Benutzerhandbuch.

Beschränken Sie Session Manager-Benutzer auf Sitzungen mit interaktiven Befehlen und bestimmten SSM-Sitzungsdokumenten

Session Manager, ein Tool in AWS Systems Manager, bietet mehrere Methoden zum Starten von Sitzungen für Ihre verwalteten Knoten. Für die sichersten Verbindungen können Sie von den Benutzern verlangen, dass sie sich mit der Methode interaktive Befehle verbinden, um die Benutzerinteraktion auf einen bestimmten Befehl oder eine bestimmte Befehlssequenz zu beschränken. Dies hilft Ihnen bei der Verwaltung der interaktiven Aktionen, die ein Benutzer durchführen kann. Weitere Informationen finden Sie unter Starten einer Sitzung (interaktive und nicht interaktive Befehle).

Für zusätzliche Sicherheit können Sie den Session Manager Zugriff auf bestimmte EC2 Amazon-Instances und bestimmte Session Manager Sitzungsdokumente einschränken. Sie gewähren oder widerrufen Session Manager den Zugriff auf diese Weise mithilfe von AWS Identity and Access Management (IAM-) Richtlinien. Weitere Informationen finden Sie unter Schritt 3: Steuern des Sitzungs-Zugriffs auf verwaltete Knoten.

Bereitstellen von temporären Knoten-Berechtigungen für Automatisierungs-Workflows

Während eines Workflows in Automation, ein Tool in AWS Systems Manager, benötigen Ihre Knoten möglicherweise Berechtigungen, die nur für diese Ausführung, nicht aber für andere Systems Manager-Vorgänge benötigt werden. Für einen Automatisierungs-Workflow kann es beispielsweise erforderlich sein, dass ein Knoten während des Workflows eine bestimmte API-Operation aufruft oder auf eine AWS Ressource zugreift. Wenn diese Aufrufe oder Ressourcen solche sind, auf die Sie den Zugriff beschränken möchten, können Sie temporäre, zusätzliche Berechtigungen für Ihre Knoten im Automatisierungs-Runbook selbst bereitstellen, anstatt die Berechtigungen zu Ihrem IAM-Instance-Profil hinzuzufügen. Am Ende des Automation-Workflows werden die temporären Berechtigungen entfernt. Weitere Informationen finden Sie unter Bereitstellung temporärer Instance-Berechtigungen mit AWS Systems Manager Automations im AWS Management- und Governance-Blog.

Halten Sie AWS die Systems Manager Tools auf dem neuesten Stand

AWS veröffentlicht regelmäßig aktualisierte Versionen von Tools und Plugins, die Sie in Ihren AWS Systems Manager Betriebsabläufen verwenden können. Wenn Sie diese Ressourcen auf dem neuesten Stand halten, wird sichergestellt, dass Benutzer und Knoten in Ihrem Konto Zugriff auf die neueste Funktion und Sicherheitsfeatures dieser Tools haben.

SSM Agent— AWS Systems Manager Agent (SSM Agent) ist Amazon-Software, die auf einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance, einem lokalen Server oder einer virtuellen Maschine (VM) installiert und konfiguriert werden kann. SSM Agentermöglicht die AktualisierungSystems Manager, Verwaltung und Konfiguration dieser Ressourcen. Es wird empfohlen, mindestens alle zwei Wochen nach neuen Versionen zu suchen oder Aktualisierungen des Agenten zu automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Wir empfehlen außerdem, die Signatur von SSM Agent im Rahmen Ihres Aktualisierungsprozesses zu überprüfen. Weitere Informationen finden Sie unter Verifizieren der Signatur von SSM Agent.
AWS CLI — The AWS Command Line Interface (AWS CLI) ist ein Open-Source-Tool, mit dem Sie AWS-Services mithilfe von Befehlen in Ihrer Befehlszeilen-Shell interagieren können. Um das zu aktualisieren AWS CLI, führen Sie denselben Befehl aus, mit dem Sie das installiert haben. AWS CLI Wir empfehlen, mindestens alle zwei Wochen eine geplante Aufgabe auf Ihrem lokalen Rechner zu erstellen, um den für Ihr Betriebssystem geeigneten Befehl auszuführen. Informationen zu Installationsbefehlen finden Sie im AWS Command Line Interface Benutzerhandbuch unter Installation der AWS CLI Version 2.
AWS Tools for Windows PowerShell — Die Tools für Windows PowerShell sind eine Reihe von PowerShell Modulen, die auf der Funktionalität aufbauen, die das AWS SDK for .NET. Sie AWS Tools for Windows PowerShell ermöglichen es Ihnen, Operationen auf Ihren AWS Ressourcen von der PowerShell Befehlszeile aus per Skript auszuführen. Wenn aktualisierte Versionen der Tools für Windows veröffentlicht PowerShell werden, sollten Sie regelmäßig die Version aktualisieren, die Sie lokal ausführen. Weitere Informationen finden Sie unter Aktualisieren von AWS Tools for Windows PowerShell unter Windows oder Aktualisieren von unter Linux oder macOS im IAM Policy Simulator-Benutzerhandbuch. AWS Tools for Windows PowerShell
Session Manager-Plugin – Wenn Benutzer in Ihrer Organisation mit den Berechtigungen für die Verwendung von Session Manager eine Verbindung zu einem Knoten mit AWS CLI herstellen möchten, müssen sie zuerst Session Manager in ihren lokalen Maschinen installieren. Um das Plugin zu aktualisieren, führen Sie denselben Befehl aus, der für die Installation des Plugins verwendet wird. Wir empfehlen, mindestens alle zwei Wochen eine geplante Aufgabe auf Ihrem lokalen Rechner zu erstellen, um den für Ihr Betriebssystem geeigneten Befehl auszuführen. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugin für die AWS CLI.
CloudWatch Agent — Sie können den CloudWatch Agenten konfigurieren und verwenden, um Metriken und Protokolle von Ihren EC2 Instanzen, lokalen Instanzen und virtuellen Maschinen zu sammeln ()VMs. Diese Protokolle können zur Überwachung und Analyse an Amazon CloudWatch Logs gesendet werden. Es wird empfohlen, mindestens alle zwei Wochen nach neuen Versionen zu suchen oder Aktualisierungen des Agenten zu automatisieren. Für die einfachsten Aktualisierungen verwenden Sie AWS Systems Manager Quick Setup. Weitere Informationen finden Sie unter AWS Systems Manager Quick Setup.

Bewährte Methoden für die Installation von SSM Agent

Verwenden Sie bei der Installation von SSM Agent die für Ihren Maschinentyp geeignete Installationsmethode. Verwenden Sie das ssm-setup-cli Tool insbesondere für alle EC2 Nichtinstallationen in einer Hybrid- und Multi-Cloud-Umgebung. Dieses Tool bietet zusätzlichen Sicherheitsschutz für Computer, die keine Computer sind. EC2

Verwenden Sie das ssm-setup-cli Tool, um den Agenten auf On-PremisesServern und virtuellen Maschinen zu installieren, wie in den folgenden Themen beschrieben:

Um den Agenten auf EC2 Instanzen zu installieren, verwenden Sie das für Ihren Betriebssystemtyp geeignete Installationsverfahren:

Bewährte Methoden zur Überwachung und Prüfung von Systems Manager

Mithilfe der folgenden bewährten Methoden für Systems Manager können Sie potenzielle Sicherheitsschwächen und Vorfälle erkennen.

Identifizieren und prüfen all Ihrer Systems Manager-Ressourcen

Die Identifikation Ihrer IT-Assets ist ein wichtiger Aspekt von Governance und Sicherheit. Sie müssen alle Ihre Systems Manager-Ressourcen identifizieren, um ihre Sicherheitssituation zu bewerten und Maßnahmen in potentiellen Schwachstellenbereichen zu ergreifen.

Verwenden Sie den Tag-Editor, um sicherheits- und prüfungsrelevante Ressourcen zu identifizieren. Verwenden Sie dann diese Markierungen zur Suche nach den entsprechenden Ressourcen. Weitere Informationen finden Sie unter Suchen nach zu markierenden Ressourcen im AWS Resource Groups -Benutzerhandbuch.

Erstellen Sie Ressourcengruppen für Ihre Systems Manager-Ressourcen. Weitere Informationen finden Sie unter Was sind Ressourcengruppen?

Implementieren Sie die Überwachung mithilfe der CloudWatch Amazon-Überwachungstools

Die Überwachung ist ein wichtiger Teil der Aufrechterhaltung von Zuverlässigkeit, Sicherheit, Verfügbarkeit und Performance von Systems Manager und Ihren AWS -Lösungen. Amazon CloudWatch bietet verschiedene Tools und Dienste, die Sie bei der Überwachung Systems Manager und Ihrer anderen unterstützen AWS-Services. Weitere Informationen erhalten Sie unter Senden von Knotenprotokollen an Unified CloudWatch Logs (CloudWatch Agent) und Überwachung von Systems Manager-Ereignissen mit Amazon EventBridge.

Benutzen CloudTrail

AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service Mitglied ausgeführt wurdenSystems Manager. Anhand der von gesammelten Informationen können Sie die Anfrage ermitteln CloudTrail, an die die Anfrage gestellt wurdeSystems Manager, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Informationen. Weitere Informationen finden Sie unter Protokollierung von AWS Systems Manager-API-Aufrufen mit AWS CloudTrail.

Einschalten AWS Config

AWS Config ermöglicht es Ihnen, die Konfigurationen Ihrer AWS Ressourcen zu bewerten, zu prüfen und zu bewerten. AWS Config überwacht die Ressourcenkonfigurationen, sodass Sie die aufgezeichneten Konfigurationen mit den erforderlichen sicheren Konfigurationen vergleichen können. Mithilfe AWS Config dieser Funktion können Sie Änderungen an Konfigurationen und Beziehungen zwischen AWS Ressourcen überprüfen, den detaillierten Verlauf der Ressourcenkonfigurationen untersuchen und die allgemeine Konformität mit den in Ihren internen Richtlinien festgelegten Konfigurationen ermitteln. Dadurch können Sie die Compliance-Prüfung, die Sicherheitsanalyse, das Änderungsmanagement und die Fehlerbehebung bei Betriebsabläufen vereinfachen. Weitere Informationen finden Sie unter Einrichten von AWS Config mit der Konsole im AWS Config -Entwicklerhandbuch. Achten Sie bei der Angabe der Ressourcentypen, die aufgezeichnet werden sollen, darauf, dass Systems Manager-Ressourcen enthalten sind.

Überwachen Sie die AWS Sicherheitsempfehlungen

Sie sollten regelmäßig die Trusted Advisor für Sie veröffentlichten Sicherheitshinweise überprüfen. AWS-Konto Sie können dies programmgesteuert tun mit. describe-trusted-advisor-checks

Überwachen Sie außerdem aktiv die primäre E-Mail-Adresse, die für jeden von Ihnen registriert ist. AWS-Konten AWS wird Sie unter Verwendung dieser E-Mail-Adresse über neu auftretende Sicherheitsprobleme kontaktieren, die Sie betreffen könnten.

AWS Betriebsprobleme mit weitreichenden Auswirkungen werden im AWS Service Health Dashboard veröffentlicht. Operative Probleme werden ebenfalls über das Personal Health Dashboard in den einzelnen Konten gepostet. Weitere Informationen finden Sie in der AWS Health Dokumentation.

Weitere Informationen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konfigurations- und Schwachstellenanalyse

Codebeispiele