本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Systems Manager 的 Security Hub 控制項
這些 AWS Security Hub 控制項會評估 AWS Systems Manager (SSM) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性。
【SSM.1】 Amazon EC2 執行個體應該由 管理 AWS Systems Manager
相關要求:PCI DSS v3.2.1/2.4、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(2)、NIST.800-53.r5 CM-8(3)、NIST.800-5.r5 SA-15(2)、NIST.8000-5.SA-15r5 SA-3 SI-2
類別:識別 > 清查
嚴重性:中
評估的資源: AWS::EC2::Instance
必要的 AWS Config 錄製資源:AWS::EC2::Instance、 AWS::SSM::ManagedInstanceInventory
AWS Config 規則:ec2-instance-managed-by-systems-manager
排程類型:已觸發變更
參數:無
此控制項會檢查您帳戶中已停止和執行的 EC2 執行個體是否由 管理 AWS Systems Manager。Systems Manager 是 AWS 服務 ,可用來檢視和控制您的 AWS 基礎設施。
為了協助您維護安全性和合規性,Systems Manager 會掃描已停止和執行的受管執行個體。受管執行個體是設定為與 Systems Manager 搭配使用的機器。Systems Manager 接著會針對偵測到的任何政策違規進行報告或採取修正動作。Systems Manager 也可協助您設定和維護受管執行個體。
若要進一步了解,請參閱 AWS Systems Manager 使用者指南。
修補
若要使用 Systems Manager 管理 EC2 執行個體,請參閱AWS Systems Manager 《 使用者指南》中的 Amazon EC2 主機管理。在組態選項區段中,您可以保留預設選項,或視需要針對您偏好的組態進行變更。
【SSM.2】 Systems Manager 管理的 Amazon EC2 執行個體在修補程式安裝後應具有 COMPLIANT 的修補程式合規狀態
相關要求:NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.1/6.3.3
類別:偵測 > 偵測服務
嚴重性:高
資源類型: AWS::SSM::PatchCompliance
AWS Config 規則:ec2-managedinstance-patch-compliance-status-check
排程類型:已觸發變更
參數:無
此控制項會檢查 Systems Manager 修補程式合規的合規狀態是否在執行個體上安裝修補程式COMPLIANTNON_COMPLIANT之後。如果合規狀態為 ,則控制項會失敗NON_COMPLIANT。控制項只會檢查由 Systems Manager Patch Manager 管理的執行個體。
視需要修補您的 EC2 執行個體可減少您 的受攻擊面 AWS 帳戶。
修補
Systems Manager 建議使用修補程式政策來設定受管執行個體的修補。您也可以使用 Systems Manager 文件來修補執行個體,如下列程序所述。
修補不相容的修補程式
在 https://https://console.aws.amazon.com/systems-manager/
開啟 AWS Systems Manager 主控台。 -
針對節點管理,選擇執行命令,然後選擇執行命令。
-
選擇 AWS-RunPatchBaseline 的選項。
-
將 Operation (操作) 變更為 Install (安裝)。
-
選擇手動選擇執行個體,然後選擇不合規的執行個體。
-
選擇執行。
-
命令完成後,若要監控修補執行個體的新合規狀態,請在導覽窗格中選擇合規。
【SSM.3】 Systems Manager 管理的 Amazon EC2 執行個體應具有 COMPLIANT 的關聯合規狀態
相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)、PCI DSS v3.2.1/2.4、PCI DSS v4.0.1/2.2.1、PCI v4.0.1/6.3.3.3
類別:偵測 > 偵測服務
嚴重性:低
資源類型: AWS::SSM::AssociationCompliance
AWS Config 規則:ec2-managedinstance-association-compliance-status-check
排程類型:已觸發變更
參數:無
此控制項會檢查 AWS Systems Manager 關聯合規的狀態是 COMPLIANT 還是在執行個體上執行關聯NON_COMPLIANT之後。如果關聯合規狀態為 ,則控制項會失敗NON_COMPLIANT。
狀態管理員關聯是指派給受管執行個體的組態。該組態會定義您想在執行個體上維持的狀態。例如,關聯可以指定必須在您的執行個體上安裝和執行防毒軟體,或特定連接埠必須關閉。
建立一或多個狀態管理員關聯後,您即可立即取得合規狀態資訊。您可以在主控台中檢視合規狀態,或回應 AWS CLI 命令或對應的 Systems Manager API 動作。對於關聯,組態合規會顯示合規狀態 (Compliant 或 Non-compliant)。它也會顯示指派給關聯的嚴重性等級,例如 Critical或 Medium。
若要進一步了解 State Manager 關聯合規,請參閱AWS Systems Manager 《 使用者指南》中的關於 State Manager 關聯合規。
修補
失敗的關聯可以與不同的物件相關,包括目標和 Systems Manager 文件名稱。若要修復此問題,您必須先檢視關聯歷史記錄來識別和調查關聯。如需檢視關聯歷史記錄的說明,請參閱AWS Systems Manager 《 使用者指南》中的檢視關聯歷史記錄。
調查之後,您可以編輯關聯以修正已識別的問題。您可以編輯關聯來指定新的名稱、排程、嚴重性層級或目標。編輯關聯之後, 會 AWS Systems Manager 建立新的版本。如需編輯關聯的指示,請參閱AWS Systems Manager 《 使用者指南》中的編輯和建立新版本的關聯。
【SSM.4】 SSM 文件不應公開
相關需求:NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-75 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7)
類別:保護 > 安全網路組態 > 不可公開存取的資源
嚴重性:嚴重
資源類型: AWS::SSM::Document
AWS Config 規則:ssm-document-not-public
排程類型:定期
參數:無
此控制項會檢查帳戶擁有 AWS Systems Manager 的文件是否為公有。如果具有擁有者的 Systems Manager 文件Self為公有,則此控制項會失敗。
Systems Manager 公有文件可能會允許意外存取您的文件。公有 Systems Manager 文件可以公開有關您的帳戶、資源和內部程序的寶貴資訊。
除非您的使用案例需要公開共用,否則建議您封鎖 所擁有 Systems Manager 文件的公開共用設定Self。
修補
若要封鎖 Systems Manager 文件的公開共用,請參閱AWS Systems Manager 《 使用者指南》中的封鎖 SSM 文件的公開共用。
【SSM.5】 SSM 文件應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::SSM::Document
AWS Config 規則:ssm-document-tagged
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredKeyTags |
必須指派給評估資源的非系統標籤金鑰清單。標籤鍵會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合AWS 要求的標籤金鑰。 | 無預設值 |
此控制項會檢查 AWS Systems Manager 文件是否具有 requiredKeyTags 參數指定的標籤索引鍵。如果文件沒有任何標籤索引鍵,或其沒有 requiredKeyTags 參數指定的所有索引鍵,則控制項會失敗。如果您未指定 requiredKeyTags 參數的任何值,則控制項只會檢查標籤索引鍵是否存在,如果文件沒有任何標籤索引鍵,則 會失敗。控制項會忽略系統標籤,這些標籤會自動套用並具有 aws: 字首。控制項不會評估 Amazon 擁有的 Systems Manager 文件。
標籤是您建立並指派給 AWS 資源的標籤。每個標籤都包含必要的標籤索引鍵和選用的標籤值。您可使用標籤來依照用途、擁有者、環境或其他條件分類資源。他們可以協助您識別、組織、搜尋和篩選資源。他們也可以協助您追蹤資源擁有者的動作和通知。您也可以使用標籤來實作屬性型存取控制 (ABAC) 做為授權策略。如需 ABAC 策略的詳細資訊,請參閱《IAM 使用者指南》中的根據具有 ABAC 授權的屬性定義許可。如需標籤的詳細資訊,請參閱標記 AWS 資源和標籤編輯器使用者指南。
注意
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。標籤可從許多 存取 AWS 服務。它們不適用於私有或敏感資料。
修補
若要將標籤新增至 AWS Systems Manager 文件,您可以使用 AWS Systems Manager API 的 AddTagsToResource 操作,或者,如果您使用的是 AWS CLI,請執行 add-tags-to-resource 命令。您也可以使用 AWS Systems Manager 主控台。
【SSM.6】 SSM 自動化應該啟用 CloudWatch 記錄
類別:識別 > 記錄日誌
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:ssm-automation-logging-enabled
排程類型:定期
參數:無
此控制項會檢查 AWS Systems Manager (SSM) 自動化是否已啟用 Amazon CloudWatch 記錄。如果未針對 SSM Automation 啟用 CloudWatch 記錄,則控制項會失敗。
SSM Automation 是一種 AWS Systems Manager 工具,可協助您建置自動化解決方案,以使用預先定義的或自訂 Runbook 大規模部署、設定和管理 AWS 資源。為了符合組織的營運或安全需求,您可能需要提供其執行指令碼的記錄。您可以設定 SSM Automation 將輸出從 Runbook 中的aws:executeScript動作傳送至您指定的 Amazon CloudWatch Logs 日誌群組。您可使用 CloudWatch Logs 從各種 AWS 服務中監控、存放及存取日誌檔案。
修補
如需有關為 SSM 自動化啟用 CloudWatch 記錄的資訊,請參閱AWS Systems Manager 《 使用者指南》中的使用 CloudWatch Logs 記錄自動化動作輸出。
【SSM.7】 SSM 文件應啟用封鎖公開共用設定
類別:保護 > 安全存取管理 > 資源不可公開存取
嚴重性:嚴重
資源類型: AWS::::Account
AWS Config 規則:ssm-automation-block-public-sharing
排程類型:定期
參數:無
此控制項會檢查是否已啟用文件的 AWS Systems Manager 封鎖公開共用設定。如果停用 Systems Manager 文件的封鎖公開共用設定,則控制項會失敗。
AWS Systems Manager (SSM) 文件的封鎖公開共用設定是帳戶層級設定。啟用此設定可防止對 SSM 文件進行不必要的存取。如果您啟用此設定,您的變更不會影響您目前與公眾共用的任何 SSM 文件。除非您的使用案例要求您與公有共享 SSM 文件,否則建議您啟用封鎖公有共享設定。每個 的設定可能不同 AWS 區域。
修補
如需有關為 AWS Systems Manager (SSM) 文件啟用封鎖公開共用設定的資訊,請參閱AWS Systems Manager 《 使用者指南》中的封鎖 SSM 文件的公開共用。
