Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für Systems Manager

Diese AWS Security Hub Kontrollen bewerten die AWS Systems Manager (SSM) Service und Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.

[SSM.1] EC2 Amazon-Instances sollten verwaltet werden von AWS Systems Manager

Verwandte Anforderungen: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8) NIST.800-53.r5 SA-3, NIST.800-53.r5 SA-1 NIST .800-53.r5 SI-2 (3)

Kategorie: Identifizieren > Bestand

Schweregrad: Mittel

Evaluierte Ressource: AWS::EC2::Instance

Erforderlich AWS Config Ressourcen für die Aufzeichnung: AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory

AWS Config Regel: ec2-instance-managed-by-systems-manager

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob die gestoppten und laufenden EC2 Instances in Ihrem Konto verwaltet werden von AWS Systems Manager. Systems Manager ist ein AWS-Service mit dem Sie Ihre anzeigen und steuern können AWS Infrastruktur.

Um Sie bei der Aufrechterhaltung von Sicherheit und Compliance zu unterstützen, scannt Systems Manager Ihre gestoppten und laufenden verwalteten Instances. Eine verwaltete Instanz ist eine Maschine, die für die Verwendung mit Systems Manager konfiguriert ist. Systems Manager meldet dann alle festgestellten Richtlinienverstöße oder ergreift Korrekturmaßnahmen. Systems Manager hilft Ihnen auch bei der Konfiguration und Wartung Ihrer verwalteten Instanzen.

Weitere Informationen hierzu finden Sie unter .AWS Systems Manager Benutzerleitfaden .

Abhilfe

Informationen zur Verwaltung von EC2 Instances mit Systems Manager finden Sie unter Amazon EC2 Host Management in der AWS Systems Manager Benutzerleitfaden. Im Abschnitt Konfigurationsoptionen können Sie die Standardoptionen beibehalten oder sie nach Bedarf für Ihre bevorzugte Konfiguration ändern.

[SSM.2] Von Systems Manager verwaltete EC2 Amazon-Instances sollten COMPLIANT nach einer Patch-Installation den Patch-Compliance-Status von haben

Verwandte Anforderungen: PCI DSS v3.2.1/6.2, NIST .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (3), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Hoch

Ressourcentyp: AWS::SSM::PatchCompliance

AWS Config Regel: ec2-managedinstance-patch-compliance-status-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement überprüft, ob der Konformitätsstatus von Systems Manager Patch Compliance COMPLIANT oder NON_COMPLIANT nach der Patch-Installation auf der Instanz ist. Die Kontrolle schlägt fehl, wenn der Konformitätsstatus lautetNON_COMPLIANT. Das Steuerelement überprüft nur Instanzen, die von Systems Manager Patch Manager verwaltet werden.

Durch das Patchen Ihrer EC2 Instanzen nach den Anforderungen Ihres Unternehmens wird die Angriffsfläche Ihrer AWS-Konten.

Abhilfe

Systems Manager empfiehlt die Verwendung von Patch-Richtlinien, um das Patchen für Ihre verwalteten Instanzen zu konfigurieren. Sie können auch Systems Manager Manager-Dokumente verwenden, wie im folgenden Verfahren beschrieben, um eine Instanz zu patchen.

[SSM.3] Von Systems Manager verwaltete EC2 Amazon-Instances sollten den Zuordnungs-Compliance-Status von haben COMPLIANT

Verwandte Anforderungen: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2), NIST .800-53.r5 CM-8, .800-53.r5 CM-8 (1), NIST .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2 (3) NIST NIST

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Ressourcentyp: AWS::SSM::AssociationCompliance

AWS Config Regel: ec2-managedinstance-association-compliance-status-check

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob der Status der AWS Systems Manager Zuordnungskonformität ist COMPLIANT oder NON_COMPLIANT nachdem die Zuordnung auf einer Instanz ausgeführt wurde. Die Kontrolle schlägt fehl, wenn der Konformitätsstatus der Assoziation lautetNON_COMPLIANT.

Eine State Manager-Zuordnung ist eine Konfiguration, die Ihren verwalteten Instances zugewiesen ist. Die Konfiguration definiert den Status, den Sie auf Ihren Instances beibehalten möchten. Eine Zuordnung kann beispielsweise angeben, dass Antivirensoftware auf Ihren Instanzen installiert und ausgeführt werden muss oder dass bestimmte Ports geschlossen sein müssen.

Nachdem Sie eine oder mehrere State Manager-Zuordnungen erstellt haben, stehen Ihnen die Informationen zum Compliance-Status sofort zur Verfügung. Sie können den Konformitätsstatus in der Konsole oder als Antwort auf anzeigen AWS CLI Befehle oder entsprechende Systems Manager API Manager-Aktionen. Bei Zuordnungen zeigt Configuration Compliance den Kompatibilitätsstatus (CompliantoderNon-compliant) an. Außerdem wird der Schweregrad angezeigt, der der Zuordnung zugewiesen wurde, z. B. Critical oderMedium.

Weitere Informationen zur Einhaltung der Vorschriften für State Manager-Verbände finden Sie unter About Compliance mit State Manager-Verbänden in der AWS Systems Manager Benutzerleitfaden.

Abhilfe

Eine fehlgeschlagene Zuordnung kann auf verschiedene Dinge zurückzuführen sein, z. B. auf Ziele und Systems Manager Manager-Dokumentnamen. Um dieses Problem zu beheben, müssen Sie zunächst die Zuordnung identifizieren und untersuchen, indem Sie sich den Zuordnungsverlauf ansehen. Anweisungen zum Anzeigen des Zuordnungsverlaufs finden Sie unter Zuordnungshistorien anzeigen im AWS Systems Manager Benutzerleitfaden.

Nach der Untersuchung können Sie die Zuordnung bearbeiten, um das festgestellte Problem zu beheben. Sie können eine Zuordnung bearbeiten, um den Namen, den Zeitplan, den Schweregrad oder die Ziele zu ändern. Nachdem Sie eine Zuordnung bearbeitet haben, AWS Systems Manager erstellt eine neue Version. Anweisungen zum Bearbeiten einer Assoziation finden Sie unter Bearbeiten und Erstellen einer neuen Version einer Assoziation in der AWS Systems Manager Benutzerleitfaden.

[SSM.4] SSM Dokumente sollten nicht öffentlich sein

Verwandte Anforderungen: NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

Kategorie: Schützen > Sichere Netzwerkkonfiguration > Ressourcen, die nicht öffentlich zugänglich sind

Schweregrad: Kritisch

Art der Ressource: AWS::SSM::Document

AWS Config Regel: ssm-document-not-public

Art des Zeitplans: Periodisch

Parameter: Keine

Diese Kontrolle prüft, ob AWS Systems Manager Dokumente, die dem Konto gehören, sind öffentlich. Diese Kontrolle schlägt fehl, wenn Systems Manager Manager-Dokumente mit dem Eigentümer öffentlich Self sind.

Öffentliche Systems Manager Manager-Dokumente ermöglichen möglicherweise unbeabsichtigten Zugriff auf Ihre Dokumente. Ein öffentliches Systems Manager Manager-Dokument kann wertvolle Informationen über Ihr Konto, Ihre Ressourcen und internen Prozesse enthalten.

Sofern Ihr Anwendungsfall die öffentliche Freigabe nicht erfordert, empfehlen wir, die Einstellung für die öffentliche Freigabe für Systems Manager Manager-Dokumente zu blockieren, die Eigentum von sindSelf.

Abhilfe

Informationen zum Blockieren der öffentlichen Freigabe von Systems Manager Manager-Dokumenten finden Sie unter Öffentliche Freigabe für SSM Dokumente blockieren in der AWS Systems Manager Benutzerleitfaden.