O Center for Internet Security (CIS) verifica os sistemas operacionais de EC2 instâncias da Amazon - Amazon Inspector
Requisitos de EC2 instância da Amazon para escaneamentos do Amazon Inspector CISExecutar verificações do CISConsiderações sobre o gerenciamento de escaneamentos do Amazon Inspector CIS com AWS OrganizationsBuckets do Amazon S3 de propriedade do Amazon Inspector usados para verificações do CIS do Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O Center for Internet Security (CIS) verifica os sistemas operacionais de EC2 instâncias da Amazon

As varreduras do Amazon Inspector CIS (varreduras CIS) comparam seus sistemas operacionais de instância da EC2 Amazon para garantir que você os tenha configurado de acordo com as recomendações de melhores práticas estabelecidas pelo Center for Internet Security. O CIS Security Benchmark fornece linhas de base com a configuração padrão do setor e práticas recomendadas para configurar um sistema com segurança. Você pode realizar ou programar escaneamentos do CIS depois de habilitar o escaneamento do Amazon EC2 Inspector para uma conta. Para obter informações sobre como ativar o EC2 escaneamento da Amazon, consulte Ativando um tipo de escaneamento.

nota

Os padrões CIS são destinados aos sistemas operacionais x86_64. Algumas verificações podem não ser avaliadas ou retornar instruções de remediação inválidas em recursos baseados em ARM.

O Amazon Inspector executa escaneamentos CIS em EC2 instâncias alvo da Amazon com base nas tags de instância e em seu cronograma de escaneamento definido. O Amazon Inspector executa uma série de verificações de instâncias em cada instância de destino. Cada verificação avalia se a configuração do sistema atende às recomendações específicas do CIS Benchmark. Cada verificação tem um ID e um título de verificação do CIS, que correspondem a uma recomendação do CIS Benchmark para essa plataforma. Quando uma verificação do CIS é concluída, você pode visualizar os resultados para ver quais verificações de instância foram aprovadas, ignoradas ou falharam nesse sistema.

nota

Para realizar ou programar verificações do CIS, você deve ter uma conexão segura com a internet. No entanto, para executar verificações do CIS em instâncias privadas, você deve usar um endpoint da VPC.

Tópicos

Requisitos de EC2 instância da Amazon para escaneamentos do Amazon Inspector CIS

Para executar uma verificação do CIS em sua EC2 instância da Amazon, a EC2 instância da Amazon deve atender aos seguintes critérios:

  • O sistema operacional da instância é um dos sistemas operacionais compatíveis com verificações do CIS. Para ter mais informações, consulte Operating systems and programming languages supported by Amazon Inspector.

  • A instância é uma instância do Amazon EC2 Systems Manager. Para ter mais informações, consulte Trabalhar com o SSM Agent no Guia do usuário do AWS Systems Manager .

  • O plug-in do SSM do Amazon Inspector está instalado na instância. O Amazon Inspector instala automaticamente esse plug-in em instâncias gerenciadas.

  • A instância tem um perfil de instância que concede permissões para o SSM gerenciar a instância e para o Amazon Inspector executar verificações do CIS para essa instância. Para conceder essas permissões, anexe as ManagedCisPolicy políticas Amazon SSMManaged InstanceCore e AmazonInspector2 a uma função do IAM. Em seguida, anexe um perfil do IAM à sua instância como um perfil de instância. Para obter instruções sobre como criar e anexar um perfil de instância, consulte Trabalhar com funções do IAM no Guia do EC2 usuário da Amazon.

nota

Você não precisa habilitar a inspeção profunda do Amazon Inspector antes de executar um escaneamento CIS na sua instância da Amazon. EC2 Se você desabilitar a inspeção profunda do Amazon Inspector, o Amazon Inspector instalará automaticamente o agente do SSM, mas o agente do SSM não será mais invocado para executar a inspeção profunda. No entanto, como resultado, a associação InspectorLinuxDistributor-do-not-delete estará presente em sua conta.

Requisitos de endpoint da Amazon Virtual Private Cloud para executar escaneamentos do CIS em instâncias privadas da Amazon EC2

Você pode executar escaneamentos do CIS em EC2 instâncias da Amazon em uma rede Amazon. No entanto, se você quiser executar escaneamentos do CIS em EC2 instâncias privadas da Amazon, você deve criar endpoints do Amazon VPC. Os seguintes endpoints são necessários quando você cria endpoints da VPC da Amazon para o Systems Manager:

  • com.amazonaws.region.ec2messages

  • com.amazonaws.region.inspector2

  • com.amazonaws.region.s3

  • com.amazonaws.region.ssm

  • com.amazonaws.region.ssmmessages

Para ter mais informações, consulte Criar endpoints da VPC para o Systems Manager no Guia do usuário do AWS Systems Manager .

nota

Atualmente, alguns Regiões da AWS não oferecem suporte ao amazonaws.com.region.inspector2 endpoint.

Executar verificações do CIS

Você pode executar uma verificação do CIS uma vez sob demanda ou como uma verificação recorrente programada. Para executar uma verificação, primeiro crie uma configuração da verificação.

Ao criar uma configuração da verificação, especifique pares de chave/valor de etiqueta a serem usados nas instâncias de destino. Se você for o administrador delegado do Amazon Inspector de uma organização, poderá especificar várias contas na configuração da verificação, e o Amazon Inspector procurará instâncias com as etiquetas especificadas em cada uma dessas contas. Você escolhe o nível de referência do CIS para a verificação. Para cada benchmark, o CIS comporta perfis de nível 1 e 2 projetados para fornecer linhas de base para diferentes níveis de segurança que diferentes ambientes podem exigir.

  • Nível 1: recomenda configurações básicas essenciais de segurança que podem ser configuradas em qualquer sistema. A implementação dessas configurações deve causar pouca ou nenhuma interrupção do serviço. O objetivo dessas recomendações é reduzir o número de pontos de entrada em seus sistemas, reduzindo os riscos gerais de segurança cibernética.

  • Nível 2: recomenda configurações de segurança mais avançadas para ambientes de alta segurança. A implementação dessas configurações requer planejamento e coordenação para minimizar o risco de impacto nos negócios. O objetivo dessas recomendações é ajudar você a alcançar a conformidade regulatória.

O nível 2 estende o nível 1. Ao escolher o nível 2, o Amazon Inspector verifica todas as configurações recomendadas para os níveis 1 e 2.

Depois de definir os parâmetros da verificação, você pode escolher se deseja executá-la como verificação única, que é executada após a conclusão da configuração, ou como verificação recorrente. As verificações recorrentes podem ser executadas diária, semanal ou mensalmente, no horário de sua escolha.

dica

Recomendamos escolher um dia e horário com menor probabilidade de afetar seu sistema durante a execução da verificação.

Considerações sobre o gerenciamento de escaneamentos do Amazon Inspector CIS com AWS Organizations

Quando você executa verificações do CIS em uma organização, os administradores delegados e as contas-membro do Amazon Inspector interagem com as configurações e os resultados da verificação do CIS de forma diferente.

Como os administradores delegados do Amazon Inspector podem interagir com as configurações e os resultados da verificação do CIS

Quando o administrador delegado cria uma configuração de verificação, seja para todas as contas ou para contas-membro específicas, a organização é proprietária da configuração. As configurações de verificação que uma organização possui têm um ARN especificando o ID da organização como proprietário:

arn:aws:inspector2:Region:111122223333:owner/OrganizationId/cis-configuration/scanId

O administrador delegado pode gerenciar as configurações de verificação que uma organização possui, mesmo que outra conta as tenha criado.

O administrador delegado pode visualizar os resultados da verificação de qualquer conta em sua organização.

Se o administrador delegado criar uma configuração de verificação e especificar SELF como a conta de destino, o administrador delegado será o proprietário da configuração de verificação, mesmo que ele saia da organização. No entanto, o administrador delegado não pode alterar o destino de uma configuração de verificação com SELF como destino.

nota

O administrador delegado não pode adicionar etiquetas às configurações de verificação do CIS que a organização possui.

Como as contas-membro do Amazon Inspector podem interagir com as configurações e os resultados da verificação do CIS

Quando uma conta-membro cria uma configuração de verificação do CIS, ela é proprietária da configuração. No entanto, o administrador delegado pode visualizar a configuração. Se uma conta-membro sair da organização, o administrador delegado não poderá visualizar a configuração.

nota

O administrador delegado não pode editar uma configuração de verificação criada pela conta-membro.

As contas-membro, os administradores delegados com SELF como destino e as contas independentes possuem todas as configurações de verificação criadas por eles. Essas configurações de verificação têm um ARN que mostra o ID da conta como proprietário:

arn:aws:inspector2:Region:111122223333:owner/111122223333/cis-configuration/scanId

Uma conta-membro pode visualizar os resultados da verificação em sua conta, inclusive os resultados da verificação do CIS programada pelo administrador delegado.

Buckets do Amazon S3 de propriedade do Amazon Inspector usados para verificações do CIS do Amazon Inspector

A Open Vulnerability and Assessment Language (OVAL) é um esforço de segurança da informação que padroniza como avaliar e relatar o estado da máquina dos sistemas de computador. A tabela a seguir lista todos os buckets do Amazon S3 de propriedade do Amazon Inspector com definições OVAL que são usadas para verificações do CIS. O Amazon Inspector envia arquivos de definição OVAL necessários para verificações do CIS. Os buckets Amazon S3 de propriedade do Amazon Inspector devem ser incluídos na lista de permissões, se necessário. VPCs

nota

Os detalhes de cada um dos seguintes buckets do Amazon S3 de propriedade do Amazon Inspector não estão sujeitos a alterações. No entanto, a tabela pode ser atualizada para refletir as novas Regiões da AWS compatíveis. Você não pode usar buckets do Amazon S3 de propriedade do Amazon Inspector para outras operações do Amazon S3 ou em seus próprios buckets do Amazon S3.

Bucket do CIS Região da AWS

cis-datasets-prod-arn-5908f6f

Europe (Stockholm)

cis-datasets-prod-bah-8f88801

Oriente Médio (Bahrein)

cis-datasets-prod-bjs-0f40506

China (Pequim)

cis-datasets-prod-bom-435a167

Ásia-Pacífico (Mumbai)

cis-datasets-prod-cdg-f3a9c58

Europa (Paris)

cis-datasets-prod-cgk-09eb12f

Ásia-Pacífico (Jacarta)

cis-datasets-prod-cmh-63030b9

Leste dos EUA (Ohio)

cis-datasets-prod-cpt-02c5c6f

África (Cidade do Cabo)

cis-datasets-prod-dub-984936f

Europa (Irlanda)

cis-datasets-prod-fra-6eb96eb

Europa (Frankfurt)

cis-datasets-prod-gru-de69f99

América do Sul (São Paulo)

cis-datasets-prod-hkg-8e30800

Ásia-Pacífico (Hong Kong)

cis-datasets-prod-iad-8438411

Leste dos EUA (Norte da Virgínia)

cis-datasets-prod-icn-f4eff1c

Ásia-Pacífico (Seul)

cis-datasets-prod-kix-5743b21

Asia Pacific (Osaka)

cis-datasets-prod-lhr-8b1fbd0

Europa (Londres)

cis-datasets-prod-mxp-7b1bbce

Europa (Milão)

cis-datasets-prod-nrt-464f684

Ásia-Pacífico (Tóquio)

cis-datasets-prod-osu-5bead6f

AWS GovCloud (Leste dos EUA)

cis-datasets-prod-pdt-adadf9c

AWS GovCloud (Oeste dos EUA)

cis-datasets-prod-pdx-acfb052

Oeste dos EUA (Oregon)

cis-datasets-prod-sfo-1515ba8

Oeste dos EUA (Norte da Califórnia)

cis-datasets-prod-sin-309725b

Ásia-Pacífico (Singapura)

cis-datasets-prod-syd-f349107

Ásia-Pacífico (Sydney)

cis-datasets-prod-yul-5e0c95e

Canadá (Central)

cis-datasets-prod-zhy-5a8eacb

China (Ningxia)

cis-datasets-prod-zrh-67e0e3d

Europa (Zurique)