Verificações do Center for Internet Security (CIS) para sistemas operacionais de instâncias do Amazon EC2 - Amazon Inspector
Requisitos de instância do Amazon EC2 para verificação do CIS do Amazon InspectorExecutar verificações do CISConsiderações sobre o gerenciamento de verificações do CIS do Amazon Inspector com o AWS OrganizationsBuckets do Amazon S3 de propriedade do Amazon Inspector usados para verificações do CIS do Amazon Inspector

Verificações do Center for Internet Security (CIS) para sistemas operacionais de instâncias do Amazon EC2

As verificações do Amazon Inspector CIS (verificação do CIS) comparam os sistemas operacionais da sua instância do Amazon EC2 para garantir que você os tenha configurado de acordo com as práticas recomendadas estabelecidas pelo Center for Internet Security. O CIS Security Benchmark fornece linhas de base com a configuração padrão do setor e práticas recomendadas para configurar um sistema com segurança. Você pode executar ou programar verificações do CIS depois de habilitar a verificação do EC2 do Amazon Inspector para uma conta. Para ter informações sobre como ativar a verificação do Amazon EC2, consulte Activating a scan type.

nota

Os padrões CIS são destinados aos sistemas operacionais x86_64. Algumas verificações podem não ser avaliadas ou retornar instruções de correção inválidas em recursos baseados no ARM.

O Amazon Inspector executa verificações do CIS em instâncias de destino do Amazon EC2 com base em etiquetas de instância e na programação de verificação definida. O Amazon Inspector executa uma série de verificações de instâncias em cada instância de destino. Cada verificação avalia se a configuração do sistema atende às recomendações específicas do CIS Benchmark. Cada verificação tem um ID e um título de verificação do CIS, que correspondem a uma recomendação do CIS Benchmark para essa plataforma. Quando uma verificação do CIS é concluída, você pode visualizar os resultados para ver quais verificações de instância foram aprovadas, ignoradas ou falharam nesse sistema.

nota

Para realizar ou programar verificações do CIS, você deve ter uma conexão segura com a internet. No entanto, para executar verificações do CIS em instâncias privadas, você deve usar um endpoint da VPC.

Tópicos

Requisitos de instância do Amazon EC2 para verificação do CIS do Amazon Inspector

Para executar uma verificação do CIS em sua instância do Amazon EC2, a instância do Amazon EC2 deve atender aos seguintes critérios:

  • O sistema operacional da instância é um dos sistemas operacionais compatíveis com verificações do CIS. Para ter mais informações, consulte Operating systems and programming languages supported by Amazon Inspector.

  • A instância é uma instância do Amazon EC2 Systems Manager. Para ter mais informações, consulte Trabalhar com o SSM Agent no Guia do usuário do AWS Systems Manager.

  • O plug-in do SSM do Amazon Inspector está instalado na instância. O Amazon Inspector instala automaticamente esse plug-in em instâncias gerenciadas.

  • A instância tem um perfil de instância que concede permissões para o SSM gerenciar a instância e para o Amazon Inspector executar verificações do CIS para essa instância. Para conceder essas permissões, anexe as políticas AmazonSSMManagedInstanceCore e AmazonInspector2ManagedCisPolicy a um perfil do IAM. Em seguida, anexe um perfil do IAM à sua instância como um perfil de instância. Para conferir instruções sobre como criar e anexar um perfil de instância, consulte Trabalhar com funções do IAM no Guia do usuário do Amazon EC2.

nota

Você não precisa habilitar a inspeção profunda do Amazon Inspector antes de executar uma verificação do CIS na sua instância do Amazon EC2. Se você desabilitar a inspeção profunda do Amazon Inspector, o Amazon Inspector instalará automaticamente o agente do SSM, mas o agente do SSM não será mais invocado para executar a inspeção profunda. No entanto, como resultado, a associação InspectorLinuxDistributor-do-not-delete estará presente em sua conta.

Requisitos de endpoint do Amazon Virtual Private Cloud para executar verificações do CIS em instâncias privadas do Amazon EC2

Você pode executar verificações do CIS em instâncias do Amazon EC2 em uma rede da Amazon. No entanto, para executar verificações do CIS em instâncias privadas do Amazon EC2, você deve criar endpoints da VPC da Amazon. Os seguintes endpoints são necessários quando você cria endpoints da VPC da Amazon para o Systems Manager:

  • com.amazonaws.region.ec2messages

  • com.amazonaws.region.inspector2

  • com.amazonaws.region.s3

  • com.amazonaws.region.ssm

  • com.amazonaws.region.ssmmessages

Para ter mais informações, consulte Criar endpoints da VPC para o Systems Manager no Guia do usuário do AWS Systems Manager.

nota

Atualmente, algumas Regiões da AWS não são compatíveis com o endpoint amazonaws.com.region.inspector2.

Executar verificações do CIS

Você pode executar uma verificação do CIS uma vez sob demanda ou como uma verificação recorrente programada. Para executar uma verificação, primeiro crie uma configuração da verificação.

Ao criar uma configuração da verificação, especifique pares de chave/valor de etiqueta a serem usados nas instâncias de destino. Se você for o administrador delegado do Amazon Inspector de uma organização, poderá especificar várias contas na configuração da verificação, e o Amazon Inspector procurará instâncias com as etiquetas especificadas em cada uma dessas contas. Você escolhe o nível de referência do CIS para a verificação. Para cada benchmark, o CIS comporta perfis de nível 1 e 2 projetados para fornecer linhas de base para diferentes níveis de segurança que diferentes ambientes podem exigir.

  • Nível 1: recomenda configurações básicas essenciais de segurança que podem ser configuradas em qualquer sistema. A implementação dessas configurações deve causar pouca ou nenhuma interrupção do serviço. O objetivo dessas recomendações é reduzir o número de pontos de entrada em seus sistemas, reduzindo os riscos gerais de segurança cibernética.

  • Nível 2: recomenda configurações de segurança mais avançadas para ambientes de alta segurança. A implementação dessas configurações requer planejamento e coordenação para minimizar o risco de impacto nos negócios. O objetivo dessas recomendações é ajudar você a alcançar a conformidade regulatória.

O nível 2 estende o nível 1. Ao escolher o nível 2, o Amazon Inspector verifica todas as configurações recomendadas para os níveis 1 e 2.

Depois de definir os parâmetros da verificação, você pode escolher se deseja executá-la como verificação única, que é executada após a conclusão da configuração, ou como verificação recorrente. As verificações recorrentes podem ser executadas diária, semanal ou mensalmente, no horário de sua escolha.

dica

Recomendamos escolher um dia e horário com menor probabilidade de afetar seu sistema durante a execução da verificação.

Considerações sobre o gerenciamento de verificações do CIS do Amazon Inspector com o AWS Organizations

Quando você executa verificações do CIS em uma organização, os administradores delegados e as contas-membro do Amazon Inspector interagem com as configurações e os resultados da verificação do CIS de forma diferente.

Como os administradores delegados do Amazon Inspector podem interagir com as configurações e os resultados da verificação do CIS

Quando o administrador delegado cria uma configuração de verificação, seja para todas as contas ou para contas-membro específicas, a organização é proprietária da configuração. As configurações de verificação que uma organização possui têm um ARN especificando o ID da organização como proprietário:

arn:aws:inspector2:Region:111122223333:owner/OrganizationId/cis-configuration/scanId

O administrador delegado pode gerenciar as configurações de verificação que uma organização possui, mesmo que outra conta as tenha criado.

O administrador delegado pode visualizar os resultados da verificação de qualquer conta em sua organização.

Se o administrador delegado criar uma configuração de verificação e especificar SELF como a conta de destino, o administrador delegado será o proprietário da configuração de verificação, mesmo que ele saia da organização. No entanto, o administrador delegado não pode alterar o destino de uma configuração de verificação com SELF como destino.

nota

O administrador delegado não pode adicionar etiquetas às configurações de verificação do CIS que a organização possui.

Como as contas-membro do Amazon Inspector podem interagir com as configurações e os resultados da verificação do CIS

Quando uma conta-membro cria uma configuração de verificação do CIS, ela é proprietária da configuração. No entanto, o administrador delegado pode visualizar a configuração. Se uma conta-membro sair da organização, o administrador delegado não poderá visualizar a configuração.

nota

O administrador delegado não pode editar uma configuração de verificação criada pela conta-membro.

As contas-membro, os administradores delegados com SELF como destino e as contas independentes possuem todas as configurações de verificação criadas por eles. Essas configurações de verificação têm um ARN que mostra o ID da conta como proprietário:

arn:aws:inspector2:Region:111122223333:owner/111122223333/cis-configuration/scanId

Uma conta-membro pode visualizar os resultados da verificação em sua conta, inclusive os resultados da verificação do CIS programada pelo administrador delegado.

Buckets do Amazon S3 de propriedade do Amazon Inspector usados para verificações do CIS do Amazon Inspector

A Open Vulnerability and Assessment Language (OVAL) é um esforço de segurança da informação que padroniza como avaliar e relatar o estado da máquina dos sistemas de computador. A tabela a seguir lista todos os buckets do Amazon S3 de propriedade do Amazon Inspector com definições OVAL que são usadas para verificações do CIS. O Amazon Inspector envia arquivos de definição OVAL necessários para verificações do CIS. Os buckets do Amazon S3 de propriedade do Amazon Inspector devem ser permitidos em VPCs, se necessário.

nota

Os detalhes de cada um dos seguintes buckets do Amazon S3 de propriedade do Amazon Inspector não estão sujeitos a alterações. No entanto, a tabela pode ser atualizada para refletir as novas Regiões da AWS compatíveis. Você não pode usar buckets do Amazon S3 de propriedade do Amazon Inspector para outras operações do Amazon S3 ou em seus próprios buckets do Amazon S3.

Bucket do CIS Região da AWS

cis-datasets-prod-arn-5908f6f

Europe (Stockholm)

cis-datasets-prod-bah-8f88801

Oriente Médio (Bahrein)

cis-datasets-prod-bjs-0f40506

China (Pequim)

cis-datasets-prod-bom-435a167

Ásia-Pacífico (Mumbai)

cis-datasets-prod-cdg-f3a9c58

Europa (Paris)

cis-datasets-prod-cgk-09eb12f

Ásia-Pacífico (Jacarta)

cis-datasets-prod-cmh-63030b9

Leste dos EUA (Ohio)

cis-datasets-prod-cpt-02c5c6f

África (Cidade do Cabo)

cis-datasets-prod-dub-984936f

Europa (Irlanda)

cis-datasets-prod-fra-6eb96eb

Europa (Frankfurt)

cis-datasets-prod-gru-de69f99

América do Sul (São Paulo)

cis-datasets-prod-hkg-8e30800

Ásia-Pacífico (Hong Kong)

cis-datasets-prod-iad-8438411

Leste dos EUA (Norte da Virgínia)

cis-datasets-prod-icn-f4eff1c

Ásia-Pacífico (Seul)

cis-datasets-prod-kix-5743b21

Asia Pacific (Osaka)

cis-datasets-prod-lhr-8b1fbd0

Europa (Londres)

cis-datasets-prod-mxp-7b1bbce

Europa (Milão)

cis-datasets-prod-nrt-464f684

Ásia-Pacífico (Tóquio)

cis-datasets-prod-osu-5bead6f

AWS GovCloud (Leste dos EUA)

cis-datasets-prod-pdt-adadf9c

AWS GovCloud (Oeste dos EUA)

cis-datasets-prod-pdx-acfb052

Oeste dos EUA (Oregon)

cis-datasets-prod-sfo-1515ba8

Oeste dos EUA (Norte da Califórnia)

cis-datasets-prod-sin-309725b

Ásia-Pacífico (Singapura)

cis-datasets-prod-syd-f349107

Ásia-Pacífico (Sydney)

cis-datasets-prod-yul-5e0c95e

Canadá (Central)

cis-datasets-prod-zhy-5a8eacb

China (Ningxia)

cis-datasets-prod-zrh-67e0e3d

Europa (Zurique)