Correção de exposições para instâncias EC2 - AWSSecurity Hub
Características de configuração incorreta para instâncias EC2 Características de acessibilidade para instâncias EC2 Traços de vulnerabilidade para EC2 instânciasA EC2 instância tem pacotes de software maliciososA EC2 instância tem arquivos maliciosos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção de exposições para instâncias EC2

AWSO Security Hub pode gerar descobertas de exposição para instâncias do Amazon Elastic Compute Cloud (EC2).

No console do Security Hub, a EC2 instância envolvida em uma descoberta de exposição e suas informações de identificação estão listadas na seção Recursos dos detalhes da descoberta. Programaticamente, você pode recuperar detalhes do recurso com a GetFindingsV2operação da API CSPM do Security Hub.

Depois de identificar o recurso envolvido em uma descoberta de exposição, é possível excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de correção recomendadas para ajudar a mitigar o risco. Os tópicos de correção são divididos com base no tipo de característica.

Uma única descoberta de exposição contém problemas identificados em vários tópicos de correção. Por outro lado, é possível abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de correção. Sua abordagem para a correção de riscos depende de seus requisitos organizacionais e workloads.

nota

A orientação de remediação fornecida neste tópico pode exigir consultas adicionais em outros AWS recursos.

Características de configuração incorreta para instâncias EC2

Aqui estão as características de configuração incorreta das EC2 instâncias e as etapas de correção sugeridas.

A EC2 instância permite acesso ao IMDS usando a versão 1

Os metadados da instância são dados sobre sua EC2 instância da Amazon que os aplicativos podem usar para configurar ou gerenciar a instância em execução. O serviço de metadados da instância (IMDS) é um componente na instância que o código na instância usa para acessar metadados da instância com segurança. Se o IMDS não estiver protegido adequadamente, ele pode se tornar um potencial vetor de ataque, pois fornece acesso a credenciais temporárias e outros dados de configuração confidenciais. IMDSv2 fornece uma proteção mais forte contra a exploração por meio da autenticação orientada à sessão, exigindo um token de sessão para solicitações de metadados e limitando a duração da sessão. Seguindo os princípios de segurança padrão, AWS recomenda que você configure as EC2 instâncias da Amazon para uso IMDSv2 e desativação IMDSv1.

Teste de compatibilidade da aplicação

Antes de implementar IMDSv2, teste sua instância para garantir sua compatibilidade com IMDSv2 o. Alguns aplicativos ou scripts podem exigir IMDSv1 a funcionalidade principal e exigir configuração adicional. Para obter mais informações sobre ferramentas e caminhos recomendados para testar a compatibilidade de aplicações, consulte Transição para o uso do Instance Metadata Service versão 2 no Guia do usuário do Amazon Elastic Compute Cloud.

Atualize a instância a ser usada IMDSv2

Modifique as instâncias existentes para usar IMDSv2. Para obter mais informações, consulte Modificação das opções de metadados da instância para instâncias existentes no Guia do usuário do Amazon Elastic Compute Cloud.

Aplicação de atualizações às instâncias em um grupo do Auto Scaling

Se a sua instância fizer parte de um grupo do Auto Scaling, atualize seu modelo de execução ou configuração de execução com uma nova configuração e execute uma atualização de instância.

A função do IAM associada à EC2 instância da Amazon tem uma política de acesso administrativo

As políticas de acesso administrativo fornecem às EC2 instâncias da Amazon amplas permissões Serviços da AWS e recursos. Essas políticas geralmente incluem permissões não necessárias para a funcionalidade da instância. Fornecer uma identidade do IAM com uma política de acesso administrativo em uma EC2 instância da Amazon (em vez do conjunto mínimo de permissões que a função associada ao seu perfil de instância precisa) pode aumentar o escopo de um ataque se a EC2 instância da Amazon for comprometida. Se uma instância for comprometida, os invasores poderão utilizar essas permissões excessivas para se mover lateralmente pelo ambiente, acessar dados ou manipular recursos. Seguindo os princípios de segurança padrão, recomendamos que você conceda privilégios mínimos, o que significa conceder somente as permissões necessárias para executar uma tarefa.

Analisar e identificar políticas administrativas

No painel do IAM, encontre o perfil com o nome do perfil. Analise a política da permissão anexada ao perfil do IAM. Se a política for AWS gerenciada, procure AdministratorAccess ouIAMFullAccess. Caso contrário, no documento de política, procure declarações com "Effect": "Allow", "Action": "*" e "Resource": "*".

Implemente o acesso de privilégio mínimo

Substitua as políticas administrativas por políticas que concedam somente as permissões específicas necessárias para que a instância funcione. Para obter mais informações sobre as práticas recomendadas de segurança para perfis do IAM, consulte Aplicação de permissões de privilégio mínimo nas Práticas recomendadas de segurança do Guia do usuário do AWS Identity and Access Management. Para identificar permissões desnecessárias, é possível usar o IAM Access Analyzer para entender como modificar sua política com base no histórico de acesso. Para obter mais informações, consulte Descobertas para acesso externo e não utilizado no Guia do usuário do AWS Identity and Access Management. Também é possível criar um perfil do IAM para evitar o impacto de outras aplicações usando o perfil existente. Nesse cenário, crie um novo perfil do IAM e associe-o à instância. Para obter mais informações sobre como substituir um perfil do IAM para uma instância, consulte Anexação de um perfil do IAM a uma instância no Guia do usuário do Amazon Elastic Compute Cloud.

Considerações sobre configuração segura

Se forem necessárias permissões administrativas em nível de serviço para a instância, considere implementar estes controles de segurança adicionais para reduzir os riscos:

  • Considerações sobre configuração segura

    • Autenticação multifator (MFA): a MFA adiciona uma camada de segurança adicional ao exigir uma forma adicional de autenticação. Isso ajuda a impedir acesso não autorizado mesmo que as credenciais estejam comprometidas. Para obter mais informações, consulte Exigência de autenticação multifator (MFA) no Guia do usuário do AWS Identity and Access Management.

    • Condições do IAM: a configuração de elementos condicionais permite restringir quando e como as permissões administrativas podem ser usadas com base em fatores como IP de origem ou idade da MFA. Para obter mais informações, consulte Uso de condições nas políticas do IAM para restrição de acesso adicional no Guia do usuário do AWS Identity and Access Management.

    • Limites de permissões: os limites de permissões estabelecem o máximo de permissões que um perfil pode ter, fornecendo proteções para perfis com acesso administrativo. Para obter mais informações, consulte Uso de limites de permissões para delegar o gerenciamento de permissões em uma conta no Guia do usuário do AWS Identity and Access Management.

Aplicação de atualizações às instâncias em um grupo do Auto Scaling

Para EC2 instâncias da Amazon em um grupo de AWS auto scaling, atualize o modelo de execução ou a configuração de execução com o novo perfil de instância e execute uma atualização da instância. Para obter informações sobre a atualização de um modelo de execução, consulte Modificação de um modelo de execução (gerenciamento de versões do modelo de execução) no Guia do usuário do Amazon Elastic Compute Cloud. Para obter mais informações, consulte Usar uma atualização de instância para atualizar instâncias em um grupo do Auto Scaling. Para obter mais informações sobre o uso de funções do IAM com grupos do Auto Scaling, consulte Função do IAM para aplicativos executados em EC2 instâncias da Amazon no Guia do usuário do Amazon Auto EC2 Scaling.

A função do IAM associada à EC2 instância da Amazon tem uma política de administração de serviços

As políticas de acesso ao serviço fornecem às EC2 instâncias da Amazon amplas permissões para AWS serviços e recursos. Essas políticas geralmente incluem permissões que não são necessárias para a funcionalidade da instância. Fornecer uma identidade do IAM com uma política de acesso administrativo em uma EC2 instância da Amazon, em vez do conjunto mínimo de permissões que a função associada ao seu perfil de instância precisa, pode aumentar o escopo de um ataque se uma instância for comprometida. Seguindo os princípios de segurança padrão, recomendamos que você conceda privilégios mínimos, o que significa conceder somente as permissões necessárias para executar uma tarefa.

Analisar e identificar políticas administrativas

No painel do IAM, encontre o perfil com o nome do perfil. Analise a política da permissão anexada ao perfil do IAM. Se a política for AWS gerenciada, procure AdministratorAccess ouIAMFullAccess. Caso contrário, no documento de política, procure declarações com "Effect": "Allow", "Action": "*" e "Resource": "*".

Implemente o acesso de privilégio mínimo

Substitua as políticas de administrador do serviço por aquelas que concedam somente as permissões específicas necessárias para que a instância funcione. Para obter mais informações sobre as práticas recomendadas de segurança para perfis do IAM, consulte Aplicação de permissões de privilégio mínimo nas Práticas recomendadas de segurança do Guia do usuário do AWS Identity and Access Management. Para identificar permissões desnecessárias, é possível usar o IAM Access Analyzer para entender como modificar sua política com base no histórico de acesso. Para obter mais informações, consulte Descobertas para acesso externo e não utilizado no Guia do usuário do AWS Identity and Access Management. Também é possível criar um perfil do IAM para evitar o impacto de outras aplicações que estão usando o perfil existente. Nesse cenário, crie um novo perfil do IAM e associe-o à instância. Para obter informações sobre como substituir um perfil do IAM para uma instância, consulte Anexação de um perfil do IAM a uma instância no Guia do usuário do Amazon Elastic Compute Cloud

Considerações sobre configuração segura

Se forem necessárias permissões administrativas em nível de serviço para a instância, considere implementar estes controles de segurança adicionais para reduzir os riscos:

Considerações sobre configuração segura

Se forem necessárias permissões administrativas em nível de serviço para a instância, considere implementar estes controles de segurança adicionais para reduzir os riscos:

  • Autenticação multifator (MFA): a MFA adiciona uma camada de segurança adicional ao exigir uma forma adicional de autenticação. Isso ajuda a impedir acesso não autorizado mesmo que as credenciais estejam comprometidas. Para obter mais informações, consulte Exigência de autenticação multifator (MFA) no Guia do usuário do AWS Identity and Access Management.

  • Condições do IAM: a configuração de elementos condicionais permite restringir quando e como as permissões administrativas podem ser usadas com base em fatores como IP de origem ou idade da MFA. Para obter mais informações, consulte Uso de condições nas políticas do IAM para restrição de acesso adicional no Guia do usuário do AWS Identity and Access Management.

  • Limites de permissões: os limites de permissões estabelecem o máximo de permissões que um perfil pode ter, fornecendo proteções para perfis com acesso administrativo. Para obter mais informações, consulte Uso de limites de permissões para delegar o gerenciamento de permissões em uma conta no Guia do usuário do AWS Identity and Access Management.

Aplicação de atualizações às instâncias em um grupo do Auto Scaling

Para EC2 instâncias da Amazon em um grupo de AWS auto scaling, atualize o modelo de execução ou a configuração de execução com o novo perfil de instância e execute uma atualização da instância. Para obter informações sobre a atualização de um modelo de execução, consulte Modificação de um modelo de execução (gerenciamento de versões do modelo de execução) no Guia do usuário do Amazon Elastic Compute Cloud. Para obter mais informações, consulte Usar uma atualização de instância para atualizar instâncias em um grupo do Auto Scaling. Para obter mais informações sobre o uso de funções do IAM com grupos do Auto Scaling, consulte Função do IAM para aplicativos executados em EC2 instâncias da Amazon no Guia do usuário do Amazon Auto EC2 Scaling.

A EC2 instância da Amazon tem um grupo de segurança ou ACL de rede que permite acesso SSH ou RDP

Protocolos de acesso remoto, como SSH e RDP, permitem que os usuários se conectem e gerenciem EC2 instâncias da Amazon a partir de locais externos. Quando grupos de segurança permitem acesso irrestrito a esses protocolos pela Internet, eles aumentam a superfície de ataque de suas EC2 instâncias da Amazon ao permitir o acesso à sua instância pela Internet. Seguindo os princípios de segurança padrão, AWS recomenda limitar o acesso remoto a endereços IP ou intervalos específicos e confiáveis.

  1. Modificação de regras de grupos de segurança

    Restrinja o acesso às suas EC2 instâncias da Amazon a endereços IP confiáveis específicos. Limite o acesso de SSH e RDP a endereços IP confiáveis específicos ou use a notação CIDR para especificar intervalos de IP (por exemplo, 198.168.1.0/24). Para modificar regras de grupos de segurança, consulte Configuração de regras de grupos de segurança no Guia do usuário da Amazon Elastic Compute Cloud.

A EC2 instância da Amazon tem um grupo de segurança aberto

Os grupos de segurança atuam como firewalls virtuais para suas EC2 instâncias da Amazon para controlar o tráfego de entrada e saída. Grupos de segurança abertos, que permitem acesso irrestrito de qualquer endereço IP, podem expor suas instâncias a acesso não autorizado. Seguindo os princípios de segurança padrão, AWS recomenda restringir o acesso do grupo de segurança a endereços IP e portas específicos.

Análise das regras do grupo de segurança e avaliação da configuração atual

Avalie quais portas estão abertas e acessíveis a partir de amplos intervalos de IP, como (0.0.0.0/0 or ::/0). Para obter instruções sobre como visualizar os detalhes do grupo de segurança, consulte DescribeSecurityGroupsa Referência de API do Assistente de Portabilidade para o.NET.

Modificação de regras de grupos de segurança

Modifique suas regras de grupo de segurança para restringir o acesso a intervalos ou endereços IP confiáveis específicos. Ao atualizar suas regras de grupo de segurança, considere separar os requisitos de acesso para diferentes segmentos de rede criando regras para cada intervalo de IP de origem necessário ou restringindo o acesso a portas específicas. Para modificar as regras do grupo de segurança, consulte Configurar regras do grupo de segurança no Guia EC2 do usuário da Amazon.

Características de acessibilidade para instâncias EC2

Aqui estão as características de acessibilidade das EC2 instâncias e as etapas de remediação sugeridas.

A EC2 instância pode ser acessada pela Internet

EC2 Instâncias da Amazon com portas que podem ser acessadas pela Internet por meio de um gateway de Internet (incluindo instâncias por trás de Application Load Balancers ou Classic Load Balancers), uma conexão de emparelhamento de VPC ou um gateway virtual VPN podem expor sua instância à Internet. Seguindo os princípios de segurança padrão, recomendamos implementar controles de acesso à rede com privilégios mínimos restringindo o tráfego de entrada somente às fontes e às portas necessárias.

Modificação ou remoção de regras de grupos de segurança

Na guia Recursos, abra o recurso para o Amazon EC2 Security Group. Verifique se o acesso à Internet é necessário para que a instância funcione. Modifique ou remova as regras de entrada do grupo de segurança que permitem acesso irrestrito (0.0.0.0/0 ou ::/0). Implemente regras mais restritivas com base em intervalos de IP ou grupos de segurança específicos. Se for necessário acesso público limitado, restrinja o acesso a portas e protocolos específicos necessários para a função da instância. Para obter instruções sobre como gerenciar regras de grupos de segurança, consulte Configurar regras de grupos de segurança no Guia EC2 do usuário da Amazon.

Atualizar rede ACLs

Analise e modifique as listas de controle de acesso à rede (ACLs) associadas à sub-rede da instância. Verifique se as configurações da ACL estão alinhadas com as alterações do grupo de segurança e não permitem o acesso público involuntário. Para obter instruções sobre como modificar a rede ACLs, consulte Trabalhar com rede ACLs no Guia do usuário da Amazon VPC.

Métodos de acesso alternativos

Considere as seguintes opções para métodos alternativos de acesso:

  • Use gateways de NAT para conectividade de saída da Internet: para instâncias em sub-redes privadas que exijam acesso à Internet (por exemplo, para baixar atualizações), considere usar um gateway de NAT em vez de atribuir um endereço IP público. Um gateway de NAT permite que as instâncias localizadas em sub-redes privadas iniciem tráfego de saída para a Internet, ao mesmo tempo em que impede o tráfego de entrada proveniente da Internet.

  • Use o Systems Manager Session Manager — O Session Manager fornece acesso seguro ao shell às suas EC2 instâncias da Amazon sem a necessidade de portas de entrada, gerenciamento de chaves SSH ou manutenção de bastion hosts.

  • Use WAF e ELB ou Application Load Balancer — Para instâncias que estão executando aplicativos web, considere usar um LB combinado AWS com o Web Application Firewall (WAF). LBs pode ser configurado para permitir que suas instâncias sejam executadas em sub-redes privadas enquanto o LB é executado em uma sub-rede pública e gerencia o tráfego da Internet. Adicionar um WAF ao seu balanceador de carga fornece proteção adicional contra explorações da Web e bots.

A EC2 instância da Amazon pode ser acessada dentro da Amazon VPC

A Amazon Virtual Private Cloud (Amazon VPC) permite que você lance AWS recursos em uma rede virtual definida. As configurações de rede da Amazon VPC que permitem acesso irrestrito entre instâncias podem aumentar o escopo de um ataque se uma instância for comprometida. Seguindo as melhores práticas de segurança, AWS recomenda a implementação de segmentação de rede e controles de acesso com privilégios mínimos nos níveis de sub-rede e grupo de segurança.

Análise dos padrões de conectividade de rede da Amazon VPC

Na descoberta de exposição, identifique o ID do grupo de segurança no ARN. Identifique quais instâncias precisam se comunicar entre si e em quais portas. É possívelo usar o Amazon VPC Flow Logs para analisar os padrões de tráfego existentes em sua Amazon VPC para ajudar a identificar quais portas estão sendo usadas.

Modificação de regras de grupos de segurança

Modifique suas regras de grupo de segurança para restringir o acesso a intervalos ou endereços IP confiáveis específicos. Por exemplo, em vez de permitir todo o tráfego de todo o intervalo CIDR da VPC (por exemplo, 10.0.0.0/16), restrinja o acesso a grupos de segurança ou intervalos de IP específicos. Ao atualizar suas regras de grupo de segurança, considere separar os requisitos de acesso para diferentes segmentos de rede criando regras para cada intervalo de IP de origem necessário ou restringindo o acesso a portas específicas. Para modificar as regras do grupo de segurança, consulte Configurar regras do grupo de segurança no Guia EC2 do usuário da Amazon.

Considere organizar seus recursos da Amazon VPC em sub-redes com base em requisitos ou funções de segurança. Por exemplo, coloque servidores da Web e servidores de banco de dados em sub-redes separadas. Para obter mais informações, consulte Sub-redes para sua VPC no Guia do usuário da Amazon Virtual Private Cloud.

Configurar a rede ACLs para proteção em nível de sub-rede

As listas de controle de acesso à rede (NACLs) fornecem uma camada adicional de segurança no nível da sub-rede. Diferentemente dos grupos de segurança, não NACLs têm estado e exigem que as regras de entrada e saída sejam definidas explicitamente. Para obter mais informações, consulte Controle do tráfego de sub-redes com listas de controle de acesso de rede no Guia do usuário da Amazon Virtual Private Cloud.

Considerações adicionais

Considere os pontos a seguir ao restringir o acesso à sua Amazon VPC

  • Transit Gateway ou Amazon VPC Peering com roteamento restritivo — Se sua arquitetura usa vários VPCs que precisam se comunicar, considere usar o Transit Gateway AWS e o Amazon VPC peering para fornecer conectividade entre a Amazon e, ao VPCs mesmo tempo, permitir que você controle quais sub-redes podem se comunicar entre si. Para obter mais informações, consulte Conceitos básicos para usar os Transit Gateways da Amazon VPC e Conexões de emparelhamento da VPC.

  • Endpoints de serviço e links privados — Os endpoints do Amazon VPC podem ser usados para manter o tráfego na rede e se comunicar AWS com AWS os recursos, em vez de usar a Internet. Isso reduz a necessidade de conectividade direta entre instâncias que acessem os mesmos serviços. Para obter informações sobre endpoints da VPC, consulte O que são os endpoints da VPC? no Guia do usuário do Amazon Virtual Private Cloud. Para conectividade com serviços hospedados em outros Amazon VPCs, considere usarAWS PrivateLink.

Traços de vulnerabilidade para EC2 instâncias

Aqui estão as características de vulnerabilidade das EC2 instâncias e as etapas de correção sugeridas.

EC2 instância tem vulnerabilidades de software que podem ser exploradas pela rede com alta probabilidade de exploração

Pacotes de software instalados em EC2 instâncias podem ser expostos a vulnerabilidades e exposições comuns (). CVEs Os críticos CVEs representam riscos de segurança significativos para seu AWS ambiente. Entidades principais não autorizadas podem explorar essas vulnerabilidades sem correção e comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou para acessar outros sistemas. Vulnerabilidades críticas com alta probabilidade de exploração representam ameaças imediatas à segurança, pois o código de exploração pode já estar disponível publicamente e ser usado ativamente por invasores ou por ferramentas de verificação automatizadas. Recomendamos corrigir essas vulnerabilidades para proteger sua instância.

Atualização das instâncias afetadas

Analise a seção Referências na guia Vulnerabilidade da característica. A documentação do fornecedor pode incluir orientações específicas de correção. Siga as correções apropriadas usando estas diretrizes gerais:

Use o Gerenciador de Patches do Systems Manager para aplicar patches de sistemas operacionais e aplicações. O Gerenciador de Patches ajuda você a selecionar e implantar patches de sistema operacional e software automaticamente em grandes grupos de instâncias. Se você não tiver o Gerenciador de Patches configurado, atualize manualmente o sistema operacional em cada instância afetada.

Atualize as aplicações afetadas para suas versões seguras mais recentes seguindo os procedimentos recomendados pelo fornecedor. Para gerenciar atualizações de aplicações em várias instâncias, considere usar o Gerenciador de Estados do Systems Manager para manter seu software em um estado consistente. Se as atualizações não estiverem disponíveis, considere remover ou desabilitar a aplicação vulnerável até que um patch seja lançado ou outras mitigações, como restringir o acesso à rede da aplicação ou desabilitar atributos vulneráveis.

Siga as recomendações específicas de correção fornecidas na descoberta do Amazon Inspector. Isso pode envolver a alteração das regras do grupo de segurança, a modificação das configurações da instância ou o ajuste das configurações da aplicação.

Verifica se a instância faz parte de um grupo do Auto Scaling. A correção de substituição de AMI é feita em infraestruturas imutáveis por meio da atualização do ID da AMI que está configurado para implantar novas instâncias da Amazon EC2 em um grupo de Auto Scaling. Se você estiver usando uma custom/golden AMI, crie uma instância com a nova AMI, depois personalize a instância e crie uma nova AMI dourada. Para obter mais informações, consulte Correção de atualizações de AMI (uso de patches AMIs para grupos de Auto Scaling).

Considerações futuras

Para evitar ocorrências futuras, considere implementar um programa de gerenciamento de vulnerabilidades. O Amazon Inspector pode ser configurado para verificar automaticamente suas CVEs instâncias. O Amazon Inspector também pode ser integrado ao Security Hub para correções automáticas. Considere implementar um cronograma regular de patches usando as Janelas de Manutenção do Systems Manager para minimizar a interrupção em suas instâncias.

A EC2 instância da Amazon tem vulnerabilidades de software

Pacotes de software instalados em EC2 instâncias da Amazon podem ser expostos a vulnerabilidades e exposições comuns (). CVEs Os não críticos CVEs representam pontos fracos de segurança com menor gravidade ou capacidade de exploração em comparação com os críticos. CVEs Embora essas vulnerabilidades apresentem risco menos imediato, os invasores ainda podem explorar essas vulnerabilidades sem correção e comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou acessar outros sistemas. Seguindo as melhores práticas de segurança, AWS recomenda corrigir essas vulnerabilidades para proteger sua instância contra ataques.

Atualização das instâncias afetadas

Use o AWS Systems Manager Patch Manager para aplicar patches para sistemas operacionais. O Gerenciador de Patches ajuda você a selecionar e implantar patches de sistema operacional e software automaticamente em grandes grupos de instâncias. Se você não tiver o Gerenciador de Patches configurado, atualize manualmente o sistema operacional em cada instância afetada.

Atualize as aplicações afetadas para suas versões seguras mais recentes seguindo os procedimentos recomendados pelo fornecedor. Para gerenciar atualizações de aplicativos em várias instâncias, considere usar o AWS Systems Manager State Manager para manter seu software em um estado consistente. Se as atualizações não estiverem disponíveis, considere remover ou desabilitar a aplicação vulnerável até que um patch seja lançado ou outras mitigações, como restringir o acesso à rede da aplicação ou desabilitar atributos vulneráveis.

Siga as recomendações específicas de correção fornecidas na descoberta do Amazon Inspector. Isso pode envolver a alteração das regras do grupo de segurança, a modificação das configurações da instância ou o ajuste das configurações da aplicação.

Verifica se a instância faz parte de um grupo do Auto Scaling. A correção de substituição de AMI é feita em infraestruturas imutáveis por meio da atualização do ID da AMI que está configurado para implantar novas instâncias da Amazon EC2 em um grupo de Auto Scaling. Se você estiver usando uma custom/golden AMI, crie uma instância com a nova AMI, depois personalize a instância e crie uma nova AMI dourada. Para obter mais informações, consulte Correção de atualizações de AMI (uso de patches AMIs para grupos de Auto Scaling).

Considerações futuras

Para evitar ocorrências futuras, considere implementar um programa de gerenciamento de vulnerabilidades. O Amazon Inspector pode ser configurado para verificar automaticamente suas CVEs instâncias. O Amazon Inspector também pode ser integrado ao Security Hub para correções automáticas. Considere implementar um cronograma regular de patches usando as Janelas de Manutenção do Systems Manager para minimizar a interrupção em suas instâncias.

A EC2 instância tem um sistema End-Of-Life operacional

A EC2 instância executa um sistema end-of-life operacional que não é mais suportado nem mantido pelo desenvolvedor original. Isso expõe a instância a vulnerabilidades de segurança e possíveis ataques. Quando os sistemas operacionais chegam end-of-life, os fornecedores geralmente param de lançar novos avisos de segurança. Os alertas de segurança existentes também podem ser removidos dos feeds do fornecedor. Como resultado, o Amazon Inspector poderia potencialmente parar de gerar descobertas conhecidas CVEs, criando mais lacunas na cobertura de segurança.

Consulte Sistemas operacionais descontinuados no Guia do Usuário do Amazon Inspector para obter informações sobre sistemas operacionais que chegaram ao fim da vida útil e que podem ser detectados pelo Amazon Inspector.

Atualização para uma versão compatível do sistema operacional

Recomendamos atualizar para uma versão compatível do sistema operacional. Na descoberta de exposição, abra o recurso para acessar o recurso afetado. Antes de atualizar a versão do sistema operacional em sua instância, revise as versões disponíveis em Sistemas operacionais compatíveis no Guia do usuário do Amazon Inspector para obter uma lista das versões do sistema operacional atualmente suportadas.

A EC2 instância tem pacotes de software maliciosos

Pacotes maliciosos são componentes de software que contêm códigos nocivos projetados para comprometer a confidencialidade, a integridade e a disponibilidade de seus sistemas e dados. Pacotes maliciosos representam uma ameaça ativa e crítica à sua instância, pois os invasores podem executar códigos maliciosos automaticamente sem explorar uma vulnerabilidade. Seguindo as melhores práticas de segurança, AWS recomenda a remoção de pacotes maliciosos para proteger sua instância de possíveis ataques.

Remover pacotes maliciosos

Examine os detalhes do pacote malicioso na seção Referências da guia Vulnerabilidade da característica para entender a ameaça. Remova os pacotes maliciosos identificados usando o gerenciador de pacotes apropriado. Consulte a ferramenta de gerenciamento de pacotes no Guia do usuário do Amazon Linux 2023 para ver um exemplo. Depois de remover os pacotes maliciosos, considere realizar uma verificação para garantir que todos os pacotes que possam ter sido instalados pelo código malicioso tenham sido removidos. Para obter mais informações, consulte Iniciando a verificação de malware sob demanda GuardDuty no.

A EC2 instância tem arquivos maliciosos

Arquivos maliciosos contêm códigos nocivos projetados para comprometer a confidencialidade, integridade e disponibilidade de seus sistemas e dados. Arquivos maliciosos representam uma ameaça ativa e crítica à sua instância, pois os invasores podem executar códigos maliciosos automaticamente sem explorar uma vulnerabilidade. Seguindo as melhores práticas de segurança, AWS recomenda a remoção de arquivos maliciosos para proteger sua instância de possíveis ataques.

Remover arquivos maliciosos

Para identificar o volume específico do Amazon Elastic Block Store (Amazon EBS) que tem arquivos maliciosos, revise a seção Recursos dos detalhes da descoberta da característica. Depois de identificar o volume com o arquivo malicioso, remova os arquivos maliciosos identificados. Depois de remover os arquivos maliciosos, considere realizar uma verificação para garantir que todos os arquivos que possam ter sido instalados pelo arquivo malicioso tenham sido removidos. Para obter mais informações, consulte Iniciando a verificação de malware sob demanda GuardDuty no.