Best practice relative alla sicurezza di Systems Manager

Attribuite le autorizzazioni, si può decidere chi ottiene tali autorizzazioni e verso quali Systems Manager risorse. Puoi abilitare operazioni specifiche che desideri consentire su tali risorse. Pertanto è necessario concedere solo le autorizzazioni necessarie per eseguire un'attività. L'implementazione dell'accesso con privilegi minimi è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose.

Gli strumenti seguenti sono disponibili per implementare l'accesso con privilegi minimi:

Se si configura SSM Agent l'utilizzo di un proxy, utilizzare la no_proxy variabile con l'indirizzo IP del servizio di metadati dell'istanza Systems Manager per garantire che le chiamate a Systems Manager non assumano l'identità del servizio proxy.

Per ulteriori informazioni, consulta Configurazione SSM Agent per l'utilizzo di un proxy sui nodi Linux e Configurazione di SSM Agent per utilizzare un proxy per le istanze Windows Server.

In Parameter Store una capacità di AWS Systems Manager, un SecureString parametro è qualsiasi dato sensibile che deve essere archiviato e referenziato in modo sicuro. Se hai dati che non vuoi che gli utenti modifichino o facciano riferimento in testo semplice, come password o chiavi di licenza, crea tali parametri utilizzando il tipo di dati. SecureString Parameter Storeutilizza un AWS KMS key in AWS Key Management Service (AWS KMS) per crittografare il valore del parametro. AWS KMS utilizza una chiave gestita dal cliente o una per crittografare Chiave gestita da AWS il valore del parametro. Per la massima sicurezza, si consiglia di utilizzare il proprio CMK. Se utilizzi il Chiave gestita da AWS, qualsiasi utente autorizzato a eseguire le GetParametersazioni GetParametere nel tuo account può visualizzare o recuperare il contenuto di tutti i SecureString parametri. Se si utilizzano CMK gestiti dal cliente per crittografare i valori SecureString protetti, è possibile utilizzare le policy IAM e le policy chiave per gestire le autorizzazioni per la crittografia e la decrittografia dei parametri.

È più difficile stabilire politiche di controllo degli accessi per queste operazioni quando si utilizza un Chiave gestita da AWS. Ad esempio, se utilizzi un per Chiave gestita da AWS crittografare SecureString i parametri e non desideri che gli utenti utilizzino SecureString i parametri, le policy IAM dell'utente devono negare esplicitamente l'accesso alla chiave predefinita.

Per ulteriori informazioni, consultaLimitazione dell'accesso ai parametri di Systems Manager mediante policy IAMeComeAWS Systems ManagerParameter StoreUsa Usa AWS KMSnellaAWS Key Management Service Guida per gli sviluppatori.

Puoi convalidare l'input dell'utente per i parametri del documento Systems Manager definendo allowedValues e allowedPattern. Per allowedValues, definire una matrice di valori consentiti per il parametro. Se un utente inserisce un valore non consentito, l'esecuzione non viene avviata. Per allowedPattern, definire un'espressione regolare che convalida se l'input dell'utente corrisponde al modello definito per il parametro. Se l'input dell'utente non corrisponde al modello consentito, l'esecuzione non viene avviata.

Per ulteriori informazioni su allowedValues e allowedPattern, consulta Elementi di dati e parametri.

A meno che il caso d'uso non richieda l'autorizzazione della condivisione pubblica, si consiglia di attivare l'impostazione Blocca condivisione pubblica per i documenti di SSM nellaPreferenzedella console Documenti di Systems Manager.

Puoi usare Amazon VPC per lanciare AWS risorse in una rete virtuale che hai definito. Questa rete virtuale è simile a una comune rete da gestire all'interno del proprio data center, ma con i vantaggi dell'infrastruttura scalabile di AWS.

Implementando un endpoint VPC, puoi connettere privatamente il tuo VPC a servizi endpoint VPC supportati Servizi AWS e forniti AWS PrivateLink da senza richiedere un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel VPC non richiedono indirizzi IP pubblici per comunicare con risorse nel servizio. Il traffico tra il VPC e gli altri servizi non lascia la rete Amazon.

Per ulteriori informazioni sulla sicurezza di Amazon VPC, consulta Migliorare la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager e la privacy del traffico di rete in Amazon VPC nella Amazon VPC User Guide.

Session Manager, una funzione di AWS Systems Manager, fornisce diversi metodi per avviare le sessioni nei nodi gestiti. Per le connessioni più sicure, è possibile richiedere agli utenti di connettersi utilizzando il metodo dei comandi interattivi per limitare l'interazione dell'utente a uno specifico comando o a una sequenza di comandi. Ciò consente di gestire le operazioni interattive che un utente può intraprendere. Per ulteriori informazioni, consulta Avvio di una sessione (comandi interattivi e non interattivi).

Per una maggiore sicurezza, puoi limitare l'accesso Session Manager a istanze Amazon EC2 specifiche e a documenti di sessione Session Manager specifici. Puoi concedere o revocare l'Session Manageraccesso in questo modo utilizzando le policy (IAM). AWS Identity and Access Management Per ulteriori informazioni, consulta Fase 3: Controlla l'accesso della sessione ai nodi gestiti.

Durante un flusso di lavoro in Automazione, una funzionalità di AWS Systems Manager, i nodi potrebbero aver bisogno delle autorizzazioni necessarie solo per tale esecuzione, ma non per altre operazioni Systems Manager. Ad esempio, un flusso di lavoro di automazione potrebbe richiedere che un nodo chiami una particolare operazione API o acceda a una AWS risorsa specificamente durante il flusso di lavoro. Se queste chiamate o risorse sono quelle a cui si desidera limitare l'accesso, è possibile fornire autorizzazioni temporanee e supplementari per i nodi all'interno del runbook di Automazione stesso invece di aggiungere le autorizzazioni al profilo dell'istanza IAM. Al termine dell'esecuzione di automazione, le autorizzazioni temporanee vengono rimosse. Per ulteriori informazioni, consulta Fornire autorizzazioni di istanza temporanee con le automazioni AWS Systems Manager nel Blog di Gestione e Controllo AWS .

AWS rilascia regolarmente versioni aggiornate di strumenti e plugin che puoi utilizzare nelle tue AWS Systems Manager operazioni. Mantenere aggiornate queste risorse garantisce che gli utenti e i nodi dell'account abbiano accesso alle funzionalità e alle funzionalità di sicurezza più recenti di questi strumenti.

L'identificazione degli asset IT è un aspetto essenziale di governance e sicurezza. È richiesta identificare tutte le risorse Systems Manager per valutare il loro assetto di sicurezza e intervenire su aree di debolezza potenziali.

Utilizza Tag Editor per identificare risorse sensibili alla sicurezza e risorse sensibili al controllo, quindi utilizza questi tag quando occorre cercare le risorse. Per ulteriori informazioni, consulta Ricerca di risorse per i tag nella Guida per l'utente AWS Resource Groups .

Crea gruppi di risorse per le risorse Systems Manager. Per ulteriori informazioni, consulta Che cos'è Resource Groups?.

Il monitoraggio è importante per garantire l'affidabilità, la disponibilità e le prestazioni di Systems Manager e delle soluzioni AWS . Amazon CloudWatch offre diversi strumenti e servizi per aiutarti a monitorare Systems Manager e a gestire le tue attività Servizi AWS. Per ulteriori informazioni, consulta Invio dei log dei nodi a CloudWatch registri unificati (agente) CloudWatch e Monitoraggio degli eventi di Systems Manager con Amazon EventBridge.

AWS CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un Servizio AWS membroSystems Manager. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare a quale richiesta è stata inviataSystems Manager, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. Per ulteriori informazioni, consulta Registrazione delle AWS Systems Manager API chiamate con AWS CloudTrail.

AWS Config consente di valutare, controllare e valutare le configurazioni delle AWS risorse. AWS Config monitora le configurazioni delle risorse, consentendo di valutare le configurazioni registrate rispetto alle configurazioni sicure richieste. Utilizzando AWS Config, è possibile esaminare le modifiche nelle configurazioni e nelle relazioni tra le AWS risorse, esaminare le cronologie dettagliate delle configurazioni delle risorse e determinare la conformità complessiva rispetto alle configurazioni specificate nelle linee guida interne. Questo semplifica il controllo della conformità, l'analisi della sicurezza, la gestione delle modifiche e la risoluzione dei problemi operativi. Per ulteriori informazioni, consulta la sezione Configurazione di AWS Config con la console nella Guida per gli sviluppatori di AWS Config . Durante la specifica dei tipi di risorse da registrare, assicurati di includere le risorse Systems Manager.

Dovresti controllare regolarmente gli avvisi di sicurezza pubblicati Trusted Advisor su. Account AWS Puoi farlo a livello di codice usando. describe-trusted-advisor-checks

Inoltre, monitora attivamente l'indirizzo email principale registrato su ciascuno dei tuoi. Account AWS AWS ti contatterà, utilizzando questo indirizzo email, in merito a problemi di sicurezza emergenti che potrebbero interessarti.

AWS i problemi operativi di ampio impatto sono pubblicati nel AWS Service Health Dashboard. Problemi operativi sono anche pubblicati su singoli account tramite il Personal Health Dashboard. Per ulteriori informazioni, consulta la Documentazione AWS Health.