Center for Internet Security (CIS) esegue scansioni per i sistemi operativi di EC2 istanze Amazon - Amazon Inspector
Requisiti delle EC2 istanze Amazon per le scansioni CIS di Amazon InspectorEsecuzione di scansioni CISConsiderazioni sulla gestione delle scansioni CIS di Amazon Inspector con AWS OrganizationsBucket Amazon S3 di proprietà di Amazon Inspector utilizzati per le scansioni CIS di Amazon Inspector

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Center for Internet Security (CIS) esegue scansioni per i sistemi operativi di EC2 istanze Amazon

Le scansioni CIS di Amazon Inspector (scansioni CIS) eseguono benchmark dei sistemi operativi delle istanze EC2 Amazon per assicurarsi che siano configurati in base alle raccomandazioni delle best practice stabilite dal Center for Internet Security. CIS Security Benchmarks fornisce linee guida di configurazione standard del settore e best practice per configurare un sistema in modo sicuro. Puoi eseguire o pianificare scansioni CIS dopo aver abilitato la scansione Amazon EC2 Inspector per un account. Per informazioni su come attivare Amazon EC2 Scanning, consulta Attivazione di un tipo di scansione.

Nota

Gli standard CIS sono destinati ai sistemi operativi x86_64. Alcuni controlli potrebbero non essere valutati o restituire istruzioni di riparazione non valide su risorse basate su ARM.

Amazon Inspector esegue scansioni CIS su istanze Amazon di destinazione in base ai tag EC2 delle istanze e alla pianificazione di scansione definita. Amazon Inspector esegue una serie di controlli delle istanze su ciascuna istanza di destinazione. Ogni controllo valuta se la configurazione del sistema soddisfa le raccomandazioni specifiche di CIS Benchmark. Ogni controllo ha un ID e un titolo di controllo CIS, che corrispondono a una raccomandazione CIS Benchmark per quella piattaforma. Al termine di una scansione CIS, è possibile visualizzare i risultati per vedere quali controlli di istanza sono stati superati, ignorati o non riusciti per quel sistema.

Nota

Per eseguire o pianificare le scansioni CIS, è necessario disporre di una connessione Internet sicura. Tuttavia, se si desidera eseguire scansioni CIS su istanze private, è necessario utilizzare un endpoint VPC.

Argomenti

Requisiti delle EC2 istanze Amazon per le scansioni CIS di Amazon Inspector

Per eseguire una scansione CIS sulla tua EC2 istanza Amazon, l' EC2 istanza Amazon deve soddisfare i seguenti criteri:

  • Il sistema operativo dell'istanza è uno dei sistemi operativi supportati per le scansioni CIS. Per ulteriori informazioni, consulta Sistemi operativi e linguaggi di programmazione supportati da Amazon Inspector.

  • L'istanza è un'istanza EC2 di Amazon Systems Manager. Per ulteriori informazioni, consulta Working with the SSM Agent nella Guida per l'AWS Systems Manager utente.

  • Il plug-in Amazon Inspector SSM è installato sull'istanza. Amazon Inspector installa automaticamente questo plug-in su istanze gestite.

  • L'istanza ha un profilo di istanza che concede le autorizzazioni a SSM per gestire l'istanza e Amazon Inspector per eseguire scansioni CIS per quell'istanza. Per concedere queste autorizzazioni, collega le ManagedCisPolicy policy Amazon SSMManaged InstanceCore and AmazonInspector2 a un ruolo IAM. Quindi collega il ruolo IAM alla tua istanza come profilo di istanza. Per istruzioni sulla creazione e il collegamento di un profilo di istanza, consulta Work with IAM roles nella Amazon EC2 User Guide.

Nota

Non è necessario abilitare l'ispezione approfondita di Amazon Inspector prima di eseguire una scansione CIS sulla tua istanza Amazon. EC2 Se disabiliti l'ispezione approfondita di Amazon Inspector, Amazon Inspector installa automaticamente l'agente SSM, ma l'agente SSM non verrà più richiamato per eseguire l'ispezione approfondita. Tuttavia, di conseguenza, l'InspectorLinuxDistributor-do-not-deleteassociazione è presente nel tuo account.

Requisiti degli endpoint Amazon Virtual Private Cloud per l'esecuzione di scansioni CIS su istanze Amazon private EC2

Puoi eseguire scansioni CIS su EC2 istanze Amazon su una rete Amazon. Tuttavia, se desideri eseguire scansioni CIS su EC2 istanze Amazon private, devi creare endpoint Amazon VPC. I seguenti endpoint sono necessari per creare endpoint Amazon VPC per Systems Manager:

  • com.amazonaws.region.ec2messages

  • com.amazonaws.region.inspector2

  • com.amazonaws.region.s3

  • com.amazonaws.region.ssm

  • com.amazonaws.region.ssmmessages

Per ulteriori informazioni, consulta Creazione di endpoint Amazon VPC per Systems Manager nella Guida per l'AWS Systems Manager utente.

Nota

Attualmente, alcuni Regioni AWS non supportano l'amazonaws.com.region.inspector2endpoint.

Esecuzione di scansioni CIS

È possibile eseguire una scansione CIS una volta su richiesta o come scansione periodica pianificata. Per eseguire una scansione, è innanzitutto necessario creare una configurazione di scansione.

Quando si crea una configurazione di scansione, si specificano le coppie chiave-valore di tag da utilizzare per indirizzare le istanze. Se sei l'amministratore delegato di Amazon Inspector di un'organizzazione, puoi specificare più account nella configurazione di scansione e Amazon Inspector cercherà le istanze con i tag specificati in ciascuno di questi account. Scegli il livello CIS Benchmark per la scansione. Per ogni benchmark, CIS supporta un profilo di livello 1 e di livello 2 progettato per fornire linee di base per i diversi livelli di sicurezza richiesti da ambienti diversi.

  • Livello 1: consiglia le impostazioni di sicurezza di base essenziali che possono essere configurate su qualsiasi sistema. L'implementazione di queste impostazioni dovrebbe causare interruzioni del servizio minime o nulle. L'obiettivo di queste raccomandazioni è ridurre il numero di punti di ingresso nei sistemi, riducendo i rischi complessivi per la sicurezza informatica.

  • Livello 2: consiglia impostazioni di sicurezza più avanzate per ambienti ad alta sicurezza. L'implementazione di queste impostazioni richiede pianificazione e coordinamento per ridurre al minimo il rischio di impatto aziendale. L'obiettivo di queste raccomandazioni è aiutarti a raggiungere la conformità normativa.

Il livello 2 estende il livello 1. Quando scegli il livello 2, Amazon Inspector verifica tutte le configurazioni consigliate per il livello 1 e il livello 2.

Dopo aver definito i parametri per la scansione, puoi scegliere se eseguirla come scansione singola, che viene eseguita dopo aver completato la configurazione, o come scansione ricorrente. Le scansioni ricorrenti possono essere eseguite giornalmente, settimanalmente o mensilmente, in un momento a scelta.

Suggerimento

Ti consigliamo di scegliere un giorno e un'ora che abbiano meno probabilità di influire sul sistema mentre la scansione è in esecuzione.

Considerazioni sulla gestione delle scansioni CIS di Amazon Inspector con AWS Organizations

Quando esegui scansioni CIS in un'organizzazione, gli amministratori delegati e gli account dei membri di Amazon Inspector interagiscono con le configurazioni e i risultati delle scansioni CIS in modo diverso.

In che modo gli amministratori delegati di Amazon Inspector possono interagire con le configurazioni e i risultati delle scansioni CIS

Quando l'amministratore delegato crea una configurazione di scansione, per tutti gli account o per uno specifico account membro, l'organizzazione è proprietaria della configurazione. Le configurazioni di scansione di proprietà di un'organizzazione hanno un ARN che specifica l'ID dell'organizzazione come proprietario:

arn:aws:inspector2:Region:111122223333:owner/OrganizationId/cis-configuration/scanId

L'amministratore delegato può gestire le configurazioni di scansione di proprietà di un'organizzazione, anche se sono state create da un altro account.

L'amministratore delegato può visualizzare i risultati della scansione per qualsiasi account della propria organizzazione.

Se l'amministratore delegato crea una configurazione di scansione e lo specifica SELF come account di destinazione, l'amministratore delegato è proprietario della configurazione di scansione, anche se lascia l'organizzazione. Tuttavia, l'amministratore delegato non può modificare la destinazione di una configurazione di scansione utilizzando come destinazione. SELF

Nota

L'amministratore delegato non può aggiungere tag alle configurazioni di scansione CIS di proprietà dell'organizzazione.

In che modo gli account membri di Amazon Inspector possono interagire con le configurazioni e i risultati delle scansioni CIS

Quando un account membro crea una configurazione di scansione CIS, è proprietario della configurazione. Tuttavia, l'amministratore delegato può visualizzare la configurazione. Se un account membro lascia l'organizzazione, l'amministratore delegato non sarà in grado di visualizzare la configurazione.

Nota

L'amministratore delegato non può modificare una configurazione di scansione creata dall'account membro.

Gli account membro, gli amministratori delegati che hanno SELF come destinazione e gli account autonomi possiedono tutti le configurazioni di scansione che creano. Queste configurazioni di scansione hanno un ARN che mostra l'ID dell'account come proprietario:

arn:aws:inspector2:Region:111122223333:owner/111122223333/cis-configuration/scanId

Un account membro può visualizzare i risultati delle scansioni nel proprio account, inclusi i risultati delle scansioni CIS pianificate dall'amministratore delegato.

Bucket Amazon S3 di proprietà di Amazon Inspector utilizzati per le scansioni CIS di Amazon Inspector

Open Vulnerability and Assessment Language (OVAL) è uno strumento di sicurezza delle informazioni che standardizza le modalità di valutazione e segnalazione dello stato delle macchine dei sistemi informatici. La tabella seguente elenca tutti i bucket Amazon S3 di proprietà di Amazon Inspector con definizioni OVAL utilizzati per le scansioni CIS. Amazon Inspector archivia i file di definizione OVAL necessari per le scansioni CIS. I bucket Amazon S3 di proprietà di Amazon Inspector dovrebbero essere inseriti nell'elenco consentito, se necessario. VPCs

Nota

I dettagli per ciascuno dei seguenti bucket Amazon S3 di proprietà di Amazon Inspector non sono soggetti a modifiche. Tuttavia, la tabella potrebbe essere aggiornata in base alle nuove funzionalità supportate. Regioni AWS Non puoi utilizzare i bucket Amazon S3 di proprietà di Amazon Inspector per altre operazioni Amazon S3 o nei tuoi bucket Amazon S3.

Bucket CIS Regione AWS

cis-datasets-prod-arn-5908f6f

Europa (Stoccolma)

cis-datasets-prod-bah-8f88801

Medio Oriente (Bahrein)

cis-datasets-prod-bjs-0f40506

Cina (Pechino)

cis-datasets-prod-bom-435a167

Asia Pacifico (Mumbai)

cis-datasets-prod-cdg-f3a9c58

Europa (Parigi)

cis-datasets-prod-cgk-09eb12f

Asia Pacifico (Giacarta)

cis-datasets-prod-cmh-63030b9

Stati Uniti orientali (Ohio)

cis-datasets-prod-cpt-02c5c6f

Africa (Città del Capo)

cis-datasets-prod-dub-984936f

Europa (Irlanda)

cis-datasets-prod-fra-6eb96eb

Europa (Francoforte)

cis-datasets-prod-gru-de69f99

Sud America (San Paolo)

cis-datasets-prod-hkg-8e30800

Asia Pacifico (Hong Kong)

cis-datasets-prod-iad-8438411

Stati Uniti orientali (Virginia settentrionale)

cis-datasets-prod-icn-f4eff1c

Asia Pacifico (Seoul)

cis-datasets-prod-kix-5743b21

Asia Pacifico (Osaka-Locale)

cis-datasets-prod-lhr-8b1fbd0

Europa (Londra)

cis-datasets-prod-mxp-7b1bbce

Europa (Milano)

cis-datasets-prod-nrt-464f684

Asia Pacifico (Tokyo)

cis-datasets-prod-osu-5bead6f

AWS GovCloud (Stati Uniti orientali)

cis-datasets-prod-pdt-adadf9c

AWS GovCloud (Stati Uniti occidentali)

cis-datasets-prod-pdx-acfb052

US West (Oregon)

cis-datasets-prod-sfo-1515ba8

Stati Uniti occidentali (California settentrionale)

cis-datasets-prod-sin-309725b

Asia Pacifico (Singapore)

cis-datasets-prod-syd-f349107

Asia Pacifico (Sydney)

cis-datasets-prod-yul-5e0c95e

Canada (Centrale)

cis-datasets-prod-zhy-5a8eacb

Cina (Ningxia)

cis-datasets-prod-zrh-67e0e3d

Europa (Zurigo)