Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Systems Manager
Ces AWS Security Hub les contrôles évaluent le AWS Systems Manager (SSM) service et ressources.
Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
Exigences associées : PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8) NIST.800-53.r5 SA-3, NIST.800-53.r5 SA-1 NIST .800-53.r5 SI-2 (3)
Catégorie : Identifier - Inventaire
Gravité : Moyenne
Ressource évaluée : AWS::EC2::Instance
Nécessaire AWS Config ressources d'enregistrement : AWS::EC2::Instance
, AWS::SSM::ManagedInstanceInventory
AWS Config règle : ec2-instance-managed-by-systems-manager
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les EC2 instances arrêtées et en cours d'exécution de votre compte sont gérées par AWS Systems Manager. Systems Manager est un Service AWS que vous pouvez utiliser pour visualiser et contrôler votre AWS infrastructure.
Pour vous aider à maintenir la sécurité et la conformité, Systems Manager analyse vos instances gérées arrêtées et en cours d'exécution. Une instance gérée est une machine configurée pour être utilisée avec Systems Manager. Systems Manager signale ensuite ou prend des mesures correctives en cas de violation des politiques détectées. Systems Manager vous aide également à configurer et à gérer vos instances gérées.
Pour en savoir plus, consultez AWS Systems Manager Guide de l'utilisateur .
Correction
Pour gérer les EC2 instances avec Systems Manager, consultez la section Gestion des EC2 hôtes Amazon dans le AWS Systems Manager Guide de l'utilisateur. Dans la section Options de configuration, vous pouvez conserver les choix par défaut ou les modifier selon les besoins de votre configuration préférée.
[SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »
Exigences associées : PCI DSS v3.2.1/6.2, NIST .800-53.r5 CM-8 (3), .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (3), NIST .800-53.r5 SI-2 (4), .800-53.r5 SI-2 (5) NIST NIST NIST
Catégorie : Détecter - Services de détection
Gravité : Élevée
Type de ressource : AWS::SSM::PatchCompliance
AWS Config règle : ec2-managedinstance-patch-compliance-status-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'état de conformité du correctif de Systems Manager est COMPLIANT
ou NON_COMPLIANT
après l'installation du correctif sur l'instance. Le contrôle échoue si le statut de conformité estNON_COMPLIANT
. Le contrôle vérifie uniquement les instances gérées par Systems Manager Patch Manager.
L'application de correctifs à vos EC2 instances selon les besoins de votre entreprise réduit la surface d'attaque de votre Comptes AWS.
Correction
Systems Manager recommande d'utiliser des politiques de correctifs pour configurer l'application de correctifs pour vos instances gérées. Vous pouvez également utiliser les documents Systems Manager, comme décrit dans la procédure suivante, pour patcher une instance.
Pour corriger les correctifs non conformes
Ouvrez le fichier AWS Systems Manager console à https://console.aws.amazon.com/systems-manager/
. -
Pour la gestion des nœuds, choisissez Exécuter la commande, puis sélectionnez Exécuter la commande.
-
Choisissez l'option pour AWS-RunPatchBaseline.
-
Passez l'Operation (Opération) à Install (Installer).
-
Choisissez Choisir les instances manuellement, puis choisissez les instances non conformes.
-
Cliquez sur Exécuter.
-
Une fois la commande terminée, pour surveiller le nouveau statut de conformité de vos instances corrigées, choisissez Compliance dans le volet de navigation.
[SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT
Exigences associées : PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2), .800-53.r5 CM-8, NIST .800-53.r5 CM-8 (1), .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2 (3) NIST NIST NIST
Catégorie : Détecter - Services de détection
Gravité : Faible
Type de ressource : AWS::SSM::AssociationCompliance
AWS Config règle : ec2-managedinstance-association-compliance-status-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le statut du AWS Systems Manager la conformité de l'association est COMPLIANT
ou NON_COMPLIANT
après l'exécution de l'association sur une instance. Le contrôle échoue si le statut de conformité de l'association estNON_COMPLIANT
.
Une association State Manager est une configuration attribuée à vos instances gérées. La configuration définit l'état que vous souhaitez conserver sur vos instances. Par exemple, une association peut spécifier qu'un logiciel antivirus doit être installé et exécuté sur vos instances ou que certains ports doivent être fermés.
Une fois que vous avez créé une ou plusieurs associations de responsables d'État, les informations sur le statut de conformité sont immédiatement disponibles. Vous pouvez consulter l'état de conformité dans la console ou en réponse à AWS CLI commandes ou API actions Systems Manager correspondantes. Pour les associations, Configuration Compliance indique l'état de conformité (Compliant
ouNon-compliant
). Il indique également le niveau de gravité attribué à l'association, tel que Critical
ouMedium
.
Pour en savoir plus sur la conformité des associations State Manager, voir À propos de la conformité des associations State Manager dans le AWS Systems Manager Guide de l'utilisateur.
Correction
L'échec d'une association peut être lié à différents facteurs, notamment aux cibles et aux noms de documents de Systems Manager. Pour résoudre ce problème, vous devez d'abord identifier et étudier l'association en consultant l'historique des associations. Pour obtenir des instructions sur l'affichage de l'historique des associations, reportez-vous à la section Affichage de l'historique des associations dans AWS Systems Manager Guide de l'utilisateur.
Après avoir étudié, vous pouvez modifier l'association pour corriger le problème identifié. Vous pouvez modifier une association pour spécifier un nouveau nom, un niveau de gravité ou des cibles. Après avoir modifié une association, AWS Systems Manager crée une nouvelle version. Pour obtenir des instructions sur la modification d'une association, reportez-vous à la section Modification et création d'une nouvelle version d'une association dans AWS Systems Manager Guide de l'utilisateur.
[SSM.4] SSM les documents ne doivent pas être publics
Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Critique
Type de ressource : AWS::SSM::Document
AWS Config règle : ssm-document-not-public
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si AWS Systems Manager les documents détenus par le compte sont publics. Ce contrôle échoue si les documents de Systems Manager avec le propriétaire Self
sont publics.
Les documents publics de Systems Manager peuvent autoriser un accès involontaire à vos documents. Un document public de Systems Manager peut exposer des informations précieuses sur votre compte, vos ressources et vos processus internes.
À moins que votre cas d'utilisation ne nécessite un partage public, nous vous recommandons de bloquer le paramètre de partage public pour les documents appartenant à Systems ManagerSelf
.
Correction
Pour bloquer le partage public des documents de Systems Manager, voir Bloquer le partage public des SSM documents dans AWS Systems Manager Guide de l'utilisateur.