Praktik terbaik keamanan untuk Systems Manager - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk Systems Manager

AWS Systems Manager menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.

Systems Manager praktik terbaik keamanan preventif

Praktik terbaik berikut untuk Systems Manager dapat membantu mencegah insiden keamanan.

Terapkan akses hak akses paling rendah

Saat memberikan izin, Anda memutuskan siapa yang mendapatkan izin apa Systems Manager sumber daya. Anda mengizinkan tindakan tertentu yang ingin Anda lakukan di sumber daya tersebut. Oleh karena itu, Anda harus memberikan hanya izin yang diperlukan untuk melaksanakan tugas. Menerapkan akses hak istimewa yang terkecil adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.

Alat bantu berikut tersedia untuk menerapkan akses hak akses paling rendah:

Gunakan pengaturan yang disarankan untuk SSM Agent saat dikonfigurasi untuk menggunakan proxy

Jika Anda mengkonfigurasi SSM Agent untuk menggunakan proxy, gunakan no_proxy variabel dengan alamat IP layanan metadata instance Systems Manager untuk memastikan bahwa panggilan ke Systems Manager tidak mengambil identitas layanan proxy.

Untuk informasi selengkapnya, silakan lihat Melakukan konfigurasi SSM Agent untuk menggunakan proxy pada node Linux dan Konfigurasi SSM Agent Untuk menggunakan proxy untuk Windows Server Instans .

Gunakan SecureString parameter untuk mengenkripsi dan melindungi data rahasia

Masuk Parameter StoreKemampuan, SecureString parameter adalah setiap data sensitif yang perlu disimpan dan direferensikan dengan cara yang aman. AWS Systems Manager Jika Anda memiliki data yang Anda tidak ingin pengguna untuk ubah atau referensikan dalam teks biasa, seperti kata sandi atau kunci lisensi, buatlah parameter tersebut menggunakan tipe data SecureString. Parameter Store menggunakan AWS KMS key in AWS Key Management Service (AWS KMS) untuk mengenkripsi nilai parameter. AWS KMS menggunakan kunci yang dikelola pelanggan atau Kunci yang dikelola AWS saat mengenkripsi nilai parameter. Untuk keamanan maksimum, kami sarankan menggunakan KMS kunci Anda sendiri. Jika Anda menggunakan Kunci yang dikelola AWS, setiap pengguna dengan izin untuk menjalankan GetParameter dan GetParameterstindakan di akun Anda dapat melihat atau mengambil konten dari semua SecureString parameter. Jika Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi SecureString nilai aman Anda, Anda dapat menggunakan IAM kebijakan dan kebijakan utama untuk mengelola izin untuk mengenkripsi dan mendekripsi parameter.

Lebih sulit untuk menetapkan kebijakan kontrol akses untuk operasi ini saat menggunakan file Kunci yang dikelola AWS. Misalnya, jika Anda menggunakan Kunci yang dikelola AWS untuk mengenkripsi SecureString parameter dan tidak ingin pengguna bekerja dengan SecureString parameter, IAM kebijakan pengguna harus secara eksplisit menolak akses ke kunci default.

Untuk informasi lebih lanjut, lihat Pembatasan akses ke Parameter Store parameter menggunakan IAM kebijakan dan Bagaimana AWS Systems Manager Parameter Store Penggunaan AWS KMS dalam Panduan AWS Key Management Service Pengembang.

Tentukan allowedValues dan allowedPattern untuk parameter dokumen

Anda dapat memvalidasi input pengguna untuk parameter dalam dokumen Systems Manager (SSMdokumen) dengan mendefinisikan dan. allowedValues allowedPattern Untuk allowedValues, Anda mendefinisikan sebuah array nilai yang diizinkan untuk parameter. Jika pengguna input nilai tidak diperbolehkan, eksekusi gagal untuk memulai. Untuk allowedPattern, Anda menentukan ekspresi reguler yang memvalidasi apakah input pengguna sesuai dengan pola yang ditetapkan untuk parameter. Jika input pengguna tidak cocok dengan pola yang diperbolehkan, eksekusi gagal untuk memulai.

Untuk informasi selengkapnya tentang allowedValues dan allowedPattern, lihat Elemen dan parameter data.

Memblokir berbagi dokumen untuk publik

Kecuali kasus penggunaan Anda mengharuskan berbagi publik diizinkan, sebaiknya aktifkan setelan blokir berbagi publik untuk SSM dokumen Anda di bagian Preferensi pada konsol Systems Manager Documents.

Menggunakan Amazon Virtual Private Cloud (AmazonVPC) dan titik VPC akhir

Anda dapat menggunakan Amazon VPC untuk meluncurkan AWS sumber daya ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini sangat mirip dengan jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaatnya yaitu menggunakan infrastruktur AWS yang dapat diskalakan.

Dengan menerapkan VPC endpoint, Anda dapat menghubungkan secara pribadi VPC ke layanan yang didukung Layanan AWS dan VPC endpoint yang didukung oleh AWS PrivateLink tanpa memerlukan gateway internet, NAT perangkat, VPN koneksi, atau koneksi. AWS Direct Connect Contoh di Anda VPC tidak memerlukan alamat IP publik untuk berkomunikasi dengan sumber daya dalam layanan. Lalu lintas antara layanan Anda VPC dan layanan lainnya tidak meninggalkan jaringan Amazon.

Untuk informasi selengkapnya tentang VPC keamanan Amazon, lihat Meningkatkan keamanan EC2 instans dengan menggunakan VPC titik akhir untuk privasi lalu lintas Systems Manager dan Internetwork di Amazon di Panduan Pengguna VPC Amazon. VPC

Membatasi Session Manager pengguna ke sesi menggunakan perintah interaktif dan dokumen SSM sesi tertentu

Session ManagerSebuah kemampuan dari AWS Systems Manager, menyediakan beberapa metode untuk memulai sesi ke node terkelola Anda. Untuk koneksi yang paling aman, Anda dapat meminta pengguna untuk terhubung menggunakan perintah interaktif metode untuk membatasi interaksi pengguna untuk perintah tertentu atau urutan perintah. Ini membantu Anda mengelola tindakan interaktif yang dapat dilakukan pengguna. Untuk informasi selengkapnya, lihat Memulai sesi (perintah interaktif dan noninteraktif).

Untuk keamanan tambahan, Anda dapat membatasi Session Manager akses ke EC2 instans Amazon tertentu dan spesifik Session Manager dokumen sesi. Anda memberikan atau mencabut Session Manager akses dengan cara ini dengan menggunakan AWS Identity and Access Management (IAM) kebijakan. Untuk informasi selengkapnya, lihat Langkah 3: Kontrol akses sesi ke node yang dikelola.

Berikan izin node sementara untuk alur kerja Otomasi

Selama alur kerja di Otomasi, kemampuan AWS Systems Manager, node Anda mungkin memerlukan izin yang diperlukan untuk eksekusi itu saja tetapi tidak untuk yang lain Systems Manager operasi. Misalnya, alur kerja Otomasi mungkin memerlukan node untuk memanggil API operasi tertentu atau mengakses AWS sumber daya secara khusus selama alur kerja. Jika panggilan atau sumber daya ini adalah panggilan yang ingin Anda batasi aksesnya, Anda dapat memberikan izin tambahan sementara untuk node Anda dalam runbook Otomasi itu sendiri alih-alih menambahkan izin ke profil instans Anda. IAM Pada akhir alur kerja otomatisasi, izin sementara akan dihapus. Untuk informasi selengkapnya, lihat Memberikan izin instans sementara dengan Otomatisasi AWS Systems Manager pada Blog Pengelolaan dan Tata Kelola AWS .

Simpan AWS dan Systems Manager alat up to date

AWS secara teratur merilis versi terbaru dari alat dan plugin yang dapat Anda gunakan di AWS Systems Manager operasi. Menjaga agar sumber daya ini tetap mutakhir memastikan bahwa pengguna dan node di akun Anda memiliki akses ke fungsionalitas dan fitur keamanan terbaru di alat ini.

  • SSM Agent – AWS Systems Manager Agen (SSM Agent) adalah perangkat lunak Amazon yang dapat diinstal dan dikonfigurasi pada instans Amazon Elastic Compute Cloud (AmazonEC2), server lokal, atau mesin virtual (VM). SSM Agent memungkinkan untuk Systems Manager untuk memperbarui, mengelola, dan mengkonfigurasi sumber daya ini. Kami merekomendasikan memeriksa versi baru, atau mengotomatisasi pembaruan untuk agen, setidaknya setiap dua minggu. Untuk informasi, lihat Mengotomatiskan pembaruan ke SSM Agent. Kami juga merekomendasikan untuk memverifikasi tanda tangan SSM Agent sebagai bagian dari proses pembaruan Anda. Untuk informasi, lihat Memverifikasi tanda tangan SSM Agent.

  • AWS CLI — The AWS Command Line Interface (AWS CLI) adalah alat open source yang memungkinkan Anda berinteraksi dengan Layanan AWS menggunakan perintah di shell baris perintah Anda. Untuk memperbarui AWS CLI, Anda menjalankan perintah yang sama yang digunakan untuk menginstal file AWS CLI. Kami merekomendasikan membuat tugas terjadwal pada mesin lokal Anda untuk menjalankan perintah yang sesuai untuk sistem operasi Anda setidaknya sekali setiap dua minggu. Untuk informasi tentang perintah instalasi, lihat Menginstal AWS CLI versi 2 di Panduan AWS Command Line Interface Pengguna.

  • AWS Tools for Windows PowerShell — Alat untuk Windows PowerShell adalah seperangkat PowerShell modul yang dibangun di atas fungsionalitas yang diekspos oleh AWS SDK for. NET. Ini AWS Tools for Windows PowerShell memungkinkan Anda untuk skrip operasi pada AWS sumber daya Anda dari baris PowerShell perintah. Secara berkala, saat versi terbaru dari Alat untuk Windows PowerShell dirilis, Anda harus memperbarui versi yang Anda jalankan secara lokal. Untuk selengkapnya, lihat AWS Tools for Windows PowerShell Memperbarui Windows atau Memperbarui AWS Tools for Windows PowerShell di Linux atau macOSdi Panduan Pengguna Simulator IAM Kebijakan.

  • Session Manager plugin - Jika pengguna di organisasi Anda dengan izin untuk menggunakan Session Manager ingin terhubung ke node menggunakan AWS CLI, mereka harus terlebih dahulu menginstal Session Manager plugin di mesin lokal mereka. Untuk memperbarui plugin, Anda menjalankan perintah yang sama seperti yang digunakan untuk menginstal plugin. Kami merekomendasikan membuat tugas terjadwal pada mesin lokal Anda untuk menjalankan perintah yang sesuai untuk sistem operasi Anda setidaknya sekali setiap dua minggu. Untuk informasi, lihat Instal Session Manager plugin untuk AWS CLI.

  • CloudWatch agen — Anda dapat mengonfigurasi dan menggunakan CloudWatch agen untuk mengumpulkan metrik dan log dari instans, EC2 instans lokal, dan mesin virtual (). VMs Log ini dapat dikirim ke Amazon CloudWatch Logs untuk pemantauan dan analisis. Kami merekomendasikan memeriksa versi baru, atau mengotomatisasi pembaruan untuk agen, setidaknya setiap dua minggu. Untuk pembaruan paling sederhana, gunakan AWS Systems Manager Pengaturan Cepat. Untuk informasi, lihat AWS Systems Manager Quick Setup.

Systems Manager pemantauan dan audit praktik terbaik

Praktik terbaik berikut untuk Systems Manager dapat membantu mendeteksi potensi kelemahan dan insiden keamanan.

Identifikasi dan audit semua Systems Manager sumber daya

Identifikasi aset IT Anda adalah aspek penting dari tata kelola dan keamanan. Anda harus mengidentifikasi semua Systems Manager sumber daya untuk menilai postur keamanan mereka dan mengambil tindakan pada area kelemahan potensial.

Gunakan Editor Tag untuk mengidentifikasi sumber daya yang sensitif terhadap keamanan atau audit, kemudian gunakan tag tersebut saat Anda perlu mencari sumber daya ini. Untuk informasi selengkapnya, lihat Menemukan sumber daya untuk ditandai di Panduan AWS Resource Groups Pengguna.

Buat grup sumber daya untuk Anda Systems Manager sumber daya. Untuk informasi selengkapnya, lihat Apa itu grup sumber daya?

Menerapkan pemantauan menggunakan alat CloudWatch pemantauan Amazon

Pemantauan merupakan bagian penting dari menjaga keandalan, keamanan, ketersediaan, dan kinerja Systems Manager dan AWS solusi Anda. Amazon CloudWatch menyediakan beberapa alat dan layanan untuk membantu Anda memantau Systems Manager dan lainnya Layanan AWS. Untuk informasi selengkapnya, silakan lihat Mengirim log node ke CloudWatch Log terpadu (CloudWatch agen) dan Memantau peristiwa Systems Manager dengan Amazon EventBridge.

Gunakan CloudTrail

AWS CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS Systems Manager. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat Systems Manager, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. Untuk informasi selengkapnya, lihat Pencatatan AWS Systems Manager API panggilan dengan AWS CloudTrail.

Nyalakan AWS Config

AWS Config memungkinkan Anda untuk menilai, mengaudit, dan mengevaluasi konfigurasi AWS sumber daya Anda. AWS Config memantau konfigurasi sumber daya, memungkinkan Anda untuk mengevaluasi konfigurasi yang direkam terhadap konfigurasi aman yang diperlukan. Dengan menggunakan AWS Config, Anda dapat meninjau perubahan konfigurasi dan hubungan antar AWS sumber daya, menyelidiki riwayat konfigurasi sumber daya terperinci, dan menentukan kepatuhan Anda secara keseluruhan terhadap konfigurasi yang ditentukan dalam pedoman internal Anda. Ini dapat membantu Anda menyederhanakan audit kepatuhan, analisis keamanan, manajemen perubahan, dan pemecahan masalah operasional. Untuk informasi lebih lanjut, lihat Menyiapkan AWS Config dengan Konsol tersebut pada Panduan Developer AWS Config . Saat menentukan jenis sumber daya yang akan direkam, pastikan Anda menyertakan Systems Manager sumber daya.

Pantau saran AWS keamanan

Anda harus secara teratur memeriksa nasihat keamanan yang diposting Trusted Advisor untuk Anda Akun AWS. Anda dapat melakukan ini secara terprogram menggunakan. describe-trusted-advisor-checks

Selanjutnya, secara aktif memantau alamat email utama yang terdaftar untuk masing-masing Anda Akun AWS. AWS akan menghubungi Anda, menggunakan alamat email ini, tentang masalah keamanan yang muncul yang mungkin memengaruhi Anda.

AWS Masalah operasional dengan dampak luas diposting di AWS Service Health Dashboard. Masalah operasional juga di-posting ke akun individu melalui Personal Health Dashboard. Untuk informasi selengkapnya, lihat Dokumentasi AWS Health.