기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Systems Manager에 대한 Security Hub 제어

이러한 AWS Security Hub 제어는 AWS Systems Manager (SSM) 서비스 및 리소스를 평가합니다. 제어 기능을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[SSM.1] Amazon EC2 인스턴스는에서 관리해야 합니다. AWS Systems Manager

관련 요구 사항: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-15(2), NIST.800-53.r5 SA-15(8), NIST.800-53.r5 SA-3, NIST.800-53.r5 SI-2(3)

범주: 식별 > 인벤토리

심각도: 중간

평가된 리소스: AWS::EC2::Instance

필요한 AWS Config 기록 리소스: AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory

AWS Config 규칙: ec2-instance-managed-by-systems-manager

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 계정에서 중지되고 실행 중인 EC2 인스턴스가에서 관리되는지 확인합니다 AWS Systems Manager. Systems Manager는 인프라를 보고 제어하는 데 사용할 수 AWS 서비스 있는 AWS 입니다.

Systems Manager는 보안과 규정 준수를 유지하는 데 도움이 되도록 중지 및 실행 중인 관리형 인스턴스를 검사합니다. 관리형 인스턴스는 Systems Manager에 사용하도록 구성된 시스템입니다. 그런 다음 Systems Manager는 탐지된 모든 정책 위반에 대해 보고하거나 수정 조치를 취합니다. 또한 Systems Manager는 관리형 인스턴스를 구성하고 유지 관리하는 데 도움이 됩니다.

자세한 내용은 AWS Systems Manager 사용 설명서를 참조하세요.

문제 해결

Systems Manager로 EC2 인스턴스를 관리하려면 AWS Systems Manager 사용 설명서의 Amazon EC2 호스트 관리를 참조하세요. 구성 옵션 섹션에서 기본 선택 사항을 유지하거나 원하는 구성에 맞게 필요에 따라 변경할 수 있습니다.

[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.

관련 요구 사항: NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(3), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), NIST.800-171.r2 3.7.1, PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.1, PCI DSS v4.0.1/6.3.3.3

범주: 감지 > 감지 서비스

심각도: 높음

리소스 유형: AWS::SSM::PatchCompliance

AWS Config 규칙: ec2-managedinstance-patch-compliance-status-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 인스턴스에 패치를 설치한 후 Systems Manager 패치 준수 상태가 COMPLIANT 또는 NON_COMPLIANT인지 확인합니다. 규정 준수 상태가 NON_COMPLIANT인 경우, 제어가 실패합니다. 제어는 Systems Manager 패치 관리자가 관리하는 인스턴스만 확인합니다.

조직의 필요에 따라 EC2 인스턴스를 완전히 패치하면 AWS 계정의 공격 표면이 줄어듭니다.

문제 해결

Systems Manager는 패치 정책을 사용하여 관리형 인스턴스에 대한 패치를 구성할 것을 권장합니다. 또한 다음 절차에서 설명한 대로 Systems Manager 문서를 사용하여 인스턴스를 패치할 수 있습니다.

[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2(3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::SSM::AssociationCompliance

AWS Config 규칙: ec2-managedinstance-association-compliance-status-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 AWS Systems Manager 연결 규정 준수 상태가 COMPLIANT 인스턴스에서 연결이 실행된 NON_COMPLIANT 후인지 여부를 확인합니다. 연결 규정 준수 상태가 NON_COMPLIANT이면 제어가 실패합니다.

State Manager 연결은 관리형 인스턴스에 할당되는 구성입니다. 이러한 구성은 인스턴스에서 관리하려는 상태를 정의합니다. 예를 들어, 연결은 인스턴스에서 안티바이러스 소프트웨어가 설치되어 실행 중이어야 하는지 또는 특정 포트가 닫혀 있어야 하는지를 지정할 수 있습니다.

State Manager 연결을 하나 이상 생성하고 나면 규정 준수 상태 정보를 즉시 볼 수 있습니다. 콘솔에서 또는 AWS CLI 명령이나 해당 Systems Manager API 작업에 대한 응답으로 규정 준수 상태를 볼 수 있습니다. 연결의 경우, 구성 규정 준수에는 규정 준수 상태(Compliant 또는 Non-compliant)가 표시됩니다. 또한 연결에 할당된 심각도 수준(예: Critical 또는 Medium)도 표시됩니다.

State Manager 연결 규정 준수에 대한 자세한 내용은 AWS Systems Manager 사용자 가이드에서 State Manager 연결 규정 준수 정보를 참조하세요.

문제 해결

실패한 연결은 대상 및 시스템 관리자 문서 이름을 비롯한 다양한 요인과 관련될 수 있습니다. 이 문제를 해결하려면 먼저 연결 기록을 확인하여 연결을 식별하고 조사해야 합니다. 연결 기록을 보는 방법에 대한 지침은 AWS Systems Manager 사용 설명서의 연결 기록 보기를 참조하세요.

조사를 마친 후 연결을 편집하여 식별된 문제를 수정할 수 있습니다. 연결을 편집하여 새로운 이름, 일정, 심각도 수준 또는 대상을 지정할 수 있습니다. 연결을 편집하면가 새 버전을 AWS Systems Manager 생성합니다. 연결을 편집하는 방법에 대한 지침은 AWS Systems Manager 사용 설명서의 연결 편집 및 새로운 버전 생성을 참조하세요.

[SSM.4] SSM 문서는 공개해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::SSM::Document

AWS Config 규칙: ssm-document-not-public

스케줄 유형: 주기적

파라미터: 없음

이 제어는 계정이 소유한 AWS Systems Manager 문서가 공개되어 있는지 확인합니다. 소유자가 Self인 시스템 관리자 문서가 공개되면 이 제어가 실패합니다.

공개된 시스템 관리자 문서는 문서에 의도하지 않은 액세스를 허용할 수 있습니다. 공개 시스템 관리자 문서는 계정, 리소스, 내부 프로세스에 대한 중요한 정보를 노출할 수 있습니다.

사용 사례에서 퍼블릭 공유가 필요한 경우가 아니면 Self가 소유한 Systems Manager 문서에 대한 퍼블릭 공유 설정을 차단하는 것이 좋습니다.

문제 해결

SSM 문서의 공개 공유를 차단하려면 AWS Systems Manager 사용 설명서의 SSM 문서에 대한 공개 공유 차단을 참조하세요.

[SSM.5] SSM 문서에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::SSM::Document

AWS Config 규칙: ssm-document-tagged

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 AWS Systems Manager 문서에 requiredKeyTags 파라미터로 지정된 태그 키가 있는지 확인합니다. 문서에 태그 키가 없거나 requiredKeyTags 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. requiredKeyTags 파라미터 값을 지정하지 않으면 제어는 태그 키의 존재만 확인하고 문서에 태그 키가 없는 경우 제어가 실패합니다. 제어는 자동으로 적용되고 aws: 접두사가 있는 시스템 태그를 무시합니다. 제어는 Amazon이 소유한 Systems Manager 문서를 평가하지 않습니다.

태그는 사용자가 생성하고 AWS 리소스에 할당하는 레이블입니다. 각 태그는 필수 태그 키와 선택적 태그 값으로 구성됩니다. 태그를 사용하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 리소스를 식별, 구성, 검색 및 필터링하는 데 도움이 될 수 있습니다. 또한 작업 및 알림에 대한 리소스 소유자를 추적하는 데 도움이 될 수 있습니다. 태그를 사용하여 ABAC(속성 기반 액세스 제어)를 권한 부여 전략으로 구현할 수도 있습니다. ABAC 전략에 대한 자세한 내용은 IAM 사용 설명서의 ABAC 권한 부여를 사용하여 속성을 기반으로 권한 정의를 참조하세요. 태그에 대한 자세한 내용은 AWS 리소스 태그 지정 및 태그 편집기 사용 설명서를 참조하세요.

문제 해결

AWS Systems Manager 문서에 태그를 추가하려면 AWS Systems Manager API의 AddTagsToResource 작업을 사용하거나를 사용하는 경우 add-tags-to-resource 명령을 AWS CLI실행합니다. 콘솔을 AWS Systems Manager 사용할 수도 있습니다.