Best practice relative alla sicurezza di Systems Manager

Attribuite le autorizzazioni, si può decidere chi ottiene tali autorizzazioni e verso quali Systems Manager risorse. È possibile abilitare operazioni specifiche che desideri consentire su tali risorse. Pertanto è necessario concedere solo le autorizzazioni necessarie per eseguire un'attività. L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose.

Gli strumenti seguenti sono disponibili per implementare l'accesso con privilegi minimi:

Quando si configura SSM Agent per utilizzare un proxy, utilizza la variabile no_proxy con l'indirizzo IP del servizio di metadati dell'istanza Systems Manager, per garantire che le chiamate a Systems Manager non assumano l'identità del servizio proxy.

Per ulteriori informazioni, consultare Configurazione di SSM Agent per l'utilizzo di un proxy sui nodi Linux e Configurazione di SSM Agent per utilizzare un proxy per le istanze Windows Server.

Su Parameter Store, uno strumento di AWS Systems Manager. un parametro SecureString è costituito da dati sensibili che devono essere archiviati e a cui è necessario fare riferimento in modo sicuro. Se hai dati che non vuoi che gli utenti modifichino o facciano riferimento in testo semplice, come password o chiavi di licenza, crea questi parametri utilizzando il tipo di dati. SecureString Parameter Storeutilizza un AWS KMS key in AWS Key Management Service (AWS KMS) per crittografare il valore del parametro. AWS KMS utilizza una chiave gestita dal cliente o una per crittografare Chiave gestita da AWS il valore del parametro. Per la massima sicurezza, si consiglia di utilizzare il proprio CMK. Se utilizzi il Chiave gestita da AWS, qualsiasi utente autorizzato a eseguire le GetParametersazioni GetParametere nel tuo account può visualizzare o recuperare il contenuto di tutti i SecureString parametri. Se si utilizzano CMK gestiti dal cliente per crittografare i valori SecureString protetti, è possibile utilizzare le policy IAM e le policy chiave per gestire le autorizzazioni per la crittografia e la decrittografia dei parametri.

È molto difficile stabilire le policy di controllo degli accessi per queste operazioni utilizzando una Chiave gestita da AWS. Ad esempio, se utilizzi an per Chiave gestita da AWS crittografare SecureString i parametri e non desideri che gli utenti utilizzino SecureString i parametri, le policy IAM dell'utente devono negare esplicitamente l'accesso alla chiave predefinita.

Per ulteriori informazioni, consultaLimitazione dell'accesso ai parametri Parameter Store mediante policy IAMeComeAWS Systems ManagerParameter StoreUsa Usa AWS KMSnellaAWS Key Management Service Guida per gli sviluppatori.

È possibile convalidare l'input dell'utente per i parametri del documento Systems Manager (documenti SSM) definendo allowedValues e allowedPattern. Per allowedValues, definire una matrice di valori consentiti per il parametro. Se un utente inserisce un valore non consentito, l'esecuzione non viene avviata. Per allowedPattern, definire un'espressione regolare che convalida se l'input dell'utente corrisponde al modello definito per il parametro. Se l'input dell'utente non corrisponde al modello consentito, l'esecuzione non viene avviata.

Per ulteriori informazioni su allowedValues e allowedPattern, consulta Elementi di dati e parametri.

A meno che il caso d'uso non richieda l'autorizzazione della condivisione pubblica, si consiglia di attivare l'impostazione Blocca condivisione pubblica per i documenti SSM nella sezione Preferenze della console Documenti di Systems Manager.

Puoi usare Amazon VPC per lanciare AWS risorse in una rete virtuale che hai definito. Questa rete virtuale è simile a una comune rete da gestire all'interno del proprio data center, ma con i vantaggi dell'infrastruttura scalabile di AWS.

Implementando un endpoint VPC, puoi connettere privatamente il tuo VPC a servizi endpoint VPC supportati Servizi AWS e forniti AWS PrivateLink da senza richiedere un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel VPC non richiedono indirizzi IP pubblici per comunicare con risorse nel servizio. Il traffico tra il VPC e gli altri servizi non lascia la rete Amazon.

Per ulteriori informazioni sulla sicurezza di Amazon VPC, consulta Migliorare la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager e la privacy del traffico internetwork in Amazon VPC nella Amazon VPC User Guide.

Session Manager, uno strumento inAWS Systems Manager, fornisce diversi metodi per avviare sessioni sui nodi gestiti. Per le connessioni più sicure, è possibile richiedere agli utenti di connettersi utilizzando il metodo dei comandi interattivi per limitare l'interazione dell'utente a uno specifico comando o a una sequenza di comandi. Ciò consente di gestire le operazioni interattive che un utente può intraprendere. Per ulteriori informazioni, consulta Avvio di una sessione (comandi interattivi e non interattivi).

Per una maggiore sicurezza, puoi limitare Session Manager l'accesso a EC2 istanze Amazon specifiche e documenti di Session Manager sessione specifici. Puoi concedere o revocare Session Manager l'accesso in questo modo utilizzando le policy AWS Identity and Access Management (IAM). Per ulteriori informazioni, consulta Fase 3: Controlla l'accesso della sessione ai nodi gestiti.

Durante un flusso di lavoro in Automazione, uno strumento di AWS Systems Manager, i nodi potrebbero aver bisogno delle autorizzazioni necessarie solo per tale esecuzione, ma non per altre operazioni Systems Manager. Ad esempio, un flusso di lavoro di automazione potrebbe richiedere che un nodo chiami una particolare operazione API o acceda a una AWS risorsa specificamente durante il flusso di lavoro. Se queste chiamate o risorse sono quelle a cui si desidera limitare l'accesso, è possibile fornire autorizzazioni temporanee e supplementari per i nodi all'interno del runbook Automation stesso invece di aggiungere le autorizzazioni al profilo dell'istanza IAM. Al termine dell'esecuzione di automazione, le autorizzazioni temporanee vengono rimosse. Per ulteriori informazioni, consulta Fornire autorizzazioni di istanza temporanee con le automazioni AWS Systems Manager nel Blog di Gestione e Controllo AWS .

AWS rilascia regolarmente versioni aggiornate di strumenti e plugin che puoi utilizzare nelle tue AWS Systems Manager operazioni. Mantenere aggiornate queste risorse garantisce che gli utenti e i nodi dell'account abbiano accesso alle funzionalità e alle funzionalità di sicurezza più recenti di questi strumenti.

L'identificazione degli asset IT è un aspetto essenziale di governance e sicurezza. È richiesta identificare tutte le risorse Systems Manager per valutare il loro assetto di sicurezza e intervenire su aree di debolezza potenziali.

Utilizza Tag Editor per identificare risorse sensibili alla sicurezza e risorse sensibili al controllo, quindi utilizza questi tag quando occorre cercare le risorse. Per ulteriori informazioni, consulta Ricerca di risorse per i tag nella Guida per l'utente AWS Resource Groups .

Crea gruppi di risorse per le risorse Systems Manager. Per ulteriori informazioni, consulta Che cos'è Resource Groups?.

Il monitoraggio è importante per garantire l'affidabilità, la disponibilità e le prestazioni di Systems Manager e delle soluzioni AWS . Amazon CloudWatch offre diversi strumenti e servizi per aiutarti a monitorare Systems Manager e a gestire le tue attività Servizi AWS. Per ulteriori informazioni, consultare Invio dei log dei nodi a CloudWatch registri unificati (agente) CloudWatch e Monitoraggio degli eventi di Systems Manager con Amazon EventBridge.

AWS CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un Servizio AWS membroSystems Manager. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare a quale richiesta è stata inviataSystems Manager, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. Per ulteriori informazioni, consulta Registrazione delle chiamate API AWS Systems Manager con AWS CloudTrail.

AWS Config consente di valutare, controllare e valutare le configurazioni delle AWS risorse. AWS Config monitora le configurazioni delle risorse, consentendo di valutare le configurazioni registrate rispetto alle configurazioni sicure richieste. Utilizzando AWS Config, è possibile esaminare le modifiche nelle configurazioni e nelle relazioni tra le AWS risorse, esaminare le cronologie dettagliate delle configurazioni delle risorse e determinare la conformità complessiva rispetto alle configurazioni specificate nelle linee guida interne. Questo semplifica il controllo della conformità, l'analisi della sicurezza, la gestione delle modifiche e la risoluzione dei problemi operativi. Per ulteriori informazioni, consulta la sezione Configurazione di AWS Config con la console nella Guida per gli sviluppatori di AWS Config . Durante la specifica dei tipi di risorse da registrare, assicurati di includere le risorse Systems Manager.

Dovresti controllare regolarmente gli avvisi di sicurezza pubblicati Trusted Advisor su. Account AWS Puoi farlo a livello di codice usando. describe-trusted-advisor-checks

Inoltre, monitora attivamente l'indirizzo email principale registrato su ciascuno dei tuoi. Account AWS AWS ti contatterà, utilizzando questo indirizzo email, in merito a problemi di sicurezza emergenti che potrebbero interessarti.

AWS i problemi operativi di ampio impatto sono pubblicati nel AWS Service Health Dashboard. Problemi operativi sono anche pubblicati su singoli account tramite il Personal Health Dashboard. Per ulteriori informazioni, consulta la Documentazione AWS Health.