Bewährte Methoden für die Sicherheit für Systems Manager - AWS Systems Manager
Bewährte Methoden für vorbeugende Systems Manager-SicherheitsmaßnahmenBewährte Methoden zur Überwachung und Prüfung von Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit für Systems Manager

AWS Systems Manager bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Bewährte Methoden für vorbeugende Systems Manager-Sicherheitsmaßnahmen

Die folgenden bewährten Methoden für Systems Manager können dabei helfen, Sicherheitsvorfälle zu verhindern.

Implementieren des Zugriffs mit geringsten Berechtigungen

Beim Erteilen von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche Systems Manager-Ressourcen erhält. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.

Die folgenden Tools stehen zur Implementierung der geringstmöglichen Zugriffsrechte zur Verfügung:

Verwenden Sie die empfohlenen EinstellungenSSM Agent, wenn Sie für die Verwendung eines Proxys konfiguriert sind

Wenn Sie die Verwendung eines Proxys konfigurierenSSM Agent, verwenden Sie die no_proxy Variable mit der IP-Adresse des Metadatendienstes der Systems Manager-Instanz, um sicherzustellen, dass Aufrufe von Systems Manager nicht die Identität des Proxydienstes annehmen.

Weitere Informationen finden Sie unter Konfiguration SSM Agent für die Verwendung eines Proxys auf Linux-Knoten und Konfigurieren des SSM Agent zur Nutzung eines Proxys für Windows Server-Instances.

Verwenden Sie SecureString Parameter, um geheime Daten zu verschlüsseln und zu schützen

Bei Parameter Store einer Fähigkeit von handelt es AWS Systems Manager sich bei einem SecureString Parameter um alle sensiblen Daten, die auf sichere Weise gespeichert und referenziert werden müssen. Wenn Sie über Daten verfügen, die Benutzer nicht ändern oder im Klartext referenzieren sollen, z. B. Kennwörter oder Lizenzschlüssel, erstellen Sie diese Parameter mithilfe des SecureString Datentyps. Parameter Storeverwendet ein AWS KMS key in AWS Key Management Service (AWS KMS), um den Parameterwert zu verschlüsseln. AWS KMS verwendet Von AWS verwalteter Schlüssel beim Verschlüsseln des Parameterwerts entweder einen vom Kunden verwalteten Schlüssel oder einen. Für maximale Sicherheit empfehlen wir die Verwendung eines eigenen KMS-Schlüssel. Wenn Sie den verwenden Von AWS verwalteter Schlüssel, kann jeder Benutzer, der berechtigt ist, die GetParameterGetParametersAND-Aktionen in Ihrem Konto auszuführen, den Inhalt aller SecureString Parameter anzeigen oder abrufen. Wenn Sie vom Kunden verwaltete Schlüssel zur Verschlüsselung Ihrer sicheren SecureString-Werte verwenden, können Sie IAM-Richtlinien und -Schlüsselrichtlinien verwenden, um die Berechtigungen für die Ver- und Entschlüsselung von Parametern zu verwalten. Es ist schwieriger, Richtlinien für die Zugriffssteuerung für diese Vorgänge zu erstellen, wenn Sie die vom Kunden verwalteten Schlüssel verwenden. Wenn Sie beispielsweise die Von AWS verwalteter Schlüssel zum Verschlüsseln von SecureString Parametern verwenden und nicht möchten, dass Benutzer mit SecureString Parametern arbeiten, müssen deren IAM-Richtlinien den Zugriff auf den Standardschlüssel ausdrücklich verweigern.

Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Systems Manager-Parameter mithilfe von IAM-Richtlinien und How AWS Systems ManagerParameter Store Uses AWS KMS in the AWS Key Management Service Developer Guide.

Definieren von allowedValues und allowedPattern für Dokumentparameter

Sie können Benutzereingaben für Parameter in Systems Manager-Dokumenten (SSM-Dokumenten) validieren, indem Sie allowedValues und allowedPattern definieren. Für allowedValues definieren Sie ein Array von Werten, die für den Parameter zulässig sind. Wenn ein Benutzer einen Wert eingibt, der nicht zulässig ist, kann die Ausführung nicht gestartet werden. Für allowedPattern definieren Sie einen regulären Ausdruck, der überprüft, ob die Benutzereingabe mit dem definierten Muster für den Parameter übereinstimmt. Wenn die Benutzereingabe nicht mit dem zulässigen Muster übereinstimmt, kann die Ausführung nicht gestartet werden.

Weitere Informationen zu allowedValues und allowedPattern finden Sie unter Datenelemente und Parameter.

Öffentliche Freigabe für Dokumente blockieren

Sofern für Ihren Anwendungsfall keine öffentliche Freigabe erforderlich ist, empfehlen wir Ihnen, die Einstellung zum Blockieren der öffentlichen Freigabe für Ihre SSM-Dokumente im Abschnitt Preferences (Einstellungen) der Systems Manager-Dokumentenkonsole zu aktivieren.

Amazon Virtual Private Cloud (Amazon VPC) und VPC-Endpunkte verwenden

Sie können Amazon VPC verwenden, um AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht weitgehend einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben, kann jedoch die Vorzüge der skalierbaren Infrastruktur von AWS nutzen.

Durch die Implementierung eines VPC-Endpunkts können Sie Ihre VPC privat mit unterstützten AWS-Services und unterstützten VPC-Endpunktdiensten verbinden, AWS PrivateLink ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung erforderlich ist. AWS Direct Connect Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Ressourcen im Service zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht.

Weitere Informationen zur Amazon VPC-Sicherheit finden Sie unter Verbessern der Sicherheit von EC2-Instances mithilfe von VPC-Endpunkten für Systems Manager und Internetwork Traffic Privacy in Amazon VPC im Amazon VPC-Benutzerhandbuch.

Beschränken Sie Session Manager-Benutzer auf Sitzungen mit interaktiven Befehlen und bestimmten SSM-Sitzungsdokumenten

Session Manager, eine Funktion von AWS Systems Manager, bietet mehrere Methoden zum Starten von Sitzungen für Ihre verwalteten Knoten. Für die sichersten Verbindungen können Sie von den Benutzern verlangen, dass sie sich mit der Methode interaktive Befehle verbinden, um die Benutzerinteraktion auf einen bestimmten Befehl oder eine bestimmte Befehlssequenz zu beschränken. Dies hilft Ihnen bei der Verwaltung der interaktiven Aktionen, die ein Benutzer durchführen kann. Weitere Informationen finden Sie unter Starten einer Sitzung (interaktive und nicht interaktive Befehle).

Für zusätzliche Sicherheit können Sie den Session Manager-Zugriff auf bestimmte Amazon-EC2-Instances und bestimmte Session Manager-Sitzungsdokumente beschränken. Sie gewähren oder widerrufen den Session Manager Zugriff auf diese Weise mithilfe von (IAM-) Richtlinien. AWS Identity and Access Management Weitere Informationen finden Sie unter Schritt 3: Steuern des Sitzungs-Zugriffs auf verwaltete Knoten.

Bereitstellen von temporären Knoten-Berechtigungen für Automatisierungs-Workflows

Während eines Automatisierungs-Workflows, eine Funktion von AWS Systems Manager, benötigen Ihre Knoten möglicherweise Berechtigungen, die nur für diese Ausführung, nicht aber für andere Systems Manager-Operationen benötigt werden. Für einen Automatisierungs-Workflow kann es beispielsweise erforderlich sein, dass ein Knoten während des Workflows eine bestimmte API-Operation aufruft oder auf eine AWS Ressource zugreift. Wenn diese Aufrufe oder Ressourcen solche sind, auf die Sie den Zugriff beschränken möchten, können Sie temporäre, zusätzliche Berechtigungen für Ihre Knoten im Automatisierungs-Runbook selbst bereitstellen, anstatt die Berechtigungen zu Ihrem IAM-Instance-Profil hinzuzufügen. Am Ende des Automation-Workflows werden die temporären Berechtigungen entfernt. Weitere Informationen finden Sie unter Bereitstellung temporärer Instance-Berechtigungen mit AWS Systems Manager Automations im AWS Management- und Governance-Blog.

Halten Sie AWS die Systems Manager Tools auf dem neuesten Stand

AWS veröffentlicht regelmäßig aktualisierte Versionen von Tools und Plugins, die Sie in Ihren AWS Systems Manager Betriebsabläufen verwenden können. Wenn Sie diese Ressourcen auf dem neuesten Stand halten, wird sichergestellt, dass Benutzer und Knoten in Ihrem Konto Zugriff auf die neueste Funktion und Sicherheitsfeatures dieser Tools haben.

  • SSM Agent – AWS Systems Manager Agent (SSM Agent) ist eine Amazon-Software, die auf einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance, einem On-Premises-Server oder in einer virtuellen Maschine (VM) installiert und konfiguriert werden kann. SSM Agent ermöglicht es Systems Manager, diese Ressourcen zu aktualisieren, zu verwalten und zu konfigurieren. Es wird empfohlen, mindestens alle zwei Wochen nach neuen Versionen zu suchen oder Aktualisierungen des Agenten zu automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Wir empfehlen außerdem, die Signatur von SSM Agent im Rahmen Ihres Aktualisierungsprozesses zu überprüfen. Weitere Informationen finden Sie unter Verifizieren der Signatur von SSM Agent.

  • AWS CLI — The AWS Command Line Interface (AWS CLI) ist ein Open-Source-Tool, mit dem Sie AWS-Services mithilfe von Befehlen in Ihrer Befehlszeilen-Shell interagieren können. Um das zu aktualisieren AWS CLI, führen Sie denselben Befehl aus, mit dem Sie das installiert haben. AWS CLI Wir empfehlen, mindestens alle zwei Wochen eine geplante Aufgabe auf Ihrem lokalen Rechner zu erstellen, um den für Ihr Betriebssystem geeigneten Befehl auszuführen. Informationen zu Installationsbefehlen finden Sie im AWS Command Line Interface Benutzerhandbuch unter Installation der AWS CLI Version 2.

  • AWS Tools for Windows PowerShell — Die Tools für Windows PowerShell sind eine Reihe von PowerShell Modulen, die auf der Funktionalität aufbauen, die das AWS SDK for .NET. Sie AWS Tools for Windows PowerShell ermöglichen es Ihnen, Operationen auf Ihren AWS Ressourcen von der PowerShell Befehlszeile aus per Skript auszuführen. Wenn aktualisierte Versionen der Tools für Windows veröffentlicht PowerShell werden, sollten Sie regelmäßig die Version aktualisieren, die Sie lokal ausführen. Weitere Informationen finden Sie unter Aktualisieren von AWS Tools for Windows PowerShell unter Windows oder Aktualisieren von unter Linux oder macOS im IAM Policy Simulator-Benutzerhandbuch. AWS Tools for Windows PowerShell

  • Session Manager-Plug-In – Wenn Benutzer in Ihrer Organisation mit den Berechtigungen für die Verwendung von Session Manager eine Verbindung zu einem Knoten mit AWS CLI herstellen möchten, müssen sie zuerst Session Manager auf ihren lokalen Maschinen installieren. Um das Plugin zu aktualisieren, führen Sie denselben Befehl aus, der für die Installation des Plugins verwendet wird. Wir empfehlen, mindestens alle zwei Wochen eine geplante Aufgabe auf Ihrem lokalen Rechner zu erstellen, um den für Ihr Betriebssystem geeigneten Befehl auszuführen. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugins für die AWS CLI.

  • CloudWatch Agent — Sie können den CloudWatch Agenten konfigurieren und verwenden, um Metriken und Protokolle von Ihren EC2-Instances, lokalen Instanzen und virtuellen Maschinen (VMs) zu sammeln. Diese Protokolle können zur Überwachung und Analyse an Amazon CloudWatch Logs gesendet werden. Es wird empfohlen, mindestens alle zwei Wochen nach neuen Versionen zu suchen oder Aktualisierungen des Agenten zu automatisieren. Für die einfachsten Aktualisierungen verwenden Sie AWS Systems Manager Quick Setup. Weitere Informationen finden Sie unter AWS Systems Manager Quick Setup.

Bewährte Methoden zur Überwachung und Prüfung von Systems Manager

Mithilfe der folgenden bewährten Methoden für Systems Manager können Sie potenzielle Sicherheitsschwächen und Vorfälle erkennen.

Identifizieren und prüfen all Ihrer Systems Manager-Ressourcen

Die Identifikation Ihrer IT-Assets ist ein wichtiger Aspekt von Governance und Sicherheit. Sie müssen alle Ihre Systems Manager-Ressourcen identifizieren, um ihre Sicherheitssituation zu bewerten und Maßnahmen in potentiellen Schwachstellenbereichen zu ergreifen.

Verwenden Sie den Tag-Editor, um sicherheits- und prüfungsrelevante Ressourcen zu identifizieren. Verwenden Sie dann diese Markierungen zur Suche nach den entsprechenden Ressourcen. Weitere Informationen finden Sie unter Suchen nach zu markierenden Ressourcen im AWS Resource Groups -Benutzerhandbuch.

Erstellen Sie Ressourcengruppen für Ihre Systems Manager-Ressourcen. Weitere Informationen finden Sie unter Was sind Ressourcengruppen?

Implementieren Sie die Überwachung mithilfe der CloudWatch Amazon-Überwachungstools

Die Überwachung ist ein wichtiger Teil der Aufrechterhaltung von Zuverlässigkeit, Sicherheit, Verfügbarkeit und Performance von Systems Manager und Ihren AWS -Lösungen. Amazon CloudWatch bietet verschiedene Tools und Dienste, die Ihnen bei der Überwachung Systems Manager und Ihrer anderen helfen AWS-Services. Weitere Informationen finden Sie unter Senden von Knotenprotokollen an Unified CloudWatch Logs (CloudWatch Agent) und Überwachung von Systems Manager-Ereignissen mit Amazon EventBridge.

Verwenden CloudTrail

AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service Mitglied ausgeführt wurdenSystems Manager. Anhand der von gesammelten Informationen können Sie die Anfrage ermitteln CloudTrail, an die die Anfrage gestellt wurdeSystems Manager, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Informationen. Weitere Informationen finden Sie unter AWS Systems Manager API-Aufrufe protokollieren mit AWS CloudTrail.

Einschalten AWS Config

AWS Config ermöglicht es Ihnen, die Konfigurationen Ihrer AWS Ressourcen zu bewerten, zu prüfen und zu bewerten. AWS Config überwacht die Ressourcenkonfigurationen, sodass Sie die aufgezeichneten Konfigurationen mit den erforderlichen sicheren Konfigurationen vergleichen können. Mithilfe AWS Config dieser Funktion können Sie Änderungen an Konfigurationen und Beziehungen zwischen AWS Ressourcen überprüfen, den detaillierten Verlauf der Ressourcenkonfigurationen untersuchen und die allgemeine Konformität mit den in Ihren internen Richtlinien festgelegten Konfigurationen ermitteln. Dadurch können Sie die Compliance-Prüfung, die Sicherheitsanalyse, das Änderungsmanagement und die Fehlerbehebung bei Betriebsabläufen vereinfachen. Weitere Informationen finden Sie unter Einrichten von AWS Config mit der Konsole im AWS Config -Entwicklerhandbuch. Achten Sie bei der Angabe der Ressourcentypen, die aufgezeichnet werden sollen, darauf, dass Systems Manager-Ressourcen enthalten sind.

Überwachen Sie die AWS Sicherheitsempfehlungen

Sie sollten regelmäßig die Trusted Advisor für Sie veröffentlichten Sicherheitshinweise überprüfen. AWS-Konto Sie können dies auch programmgesteuert mit describe-trusted-advisor-checks durchführen.

Überwachen Sie außerdem aktiv die primäre E-Mail-Adresse, die für jeden von Ihnen AWS-Konten registriert ist. AWS wird Sie unter Verwendung dieser E-Mail-Adresse über neu auftretende Sicherheitsprobleme kontaktieren, die Sie betreffen könnten.

AWS Betriebsprobleme mit weitreichenden Auswirkungen werden im AWS Service Health Dashboard veröffentlicht. Operative Probleme werden ebenfalls über das Personal Health Dashboard in den einzelnen Konten gepostet. Weitere Informationen finden Sie in der AWS Health Dokumentation.

Weitere Informationen