Systems Manager용 Security Hub 컨트롤 - AWS 보안 허브
[SSM.1] Amazon EC2 인스턴스는 다음과 같이 관리해야 합니다. AWS Systems Manager[SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.[SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT [SSM.4] SSM 문서는 공개해서는 안 됩니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Systems Manager용 Security Hub 컨트롤

이들은 AWS Security Hub 컨트롤은 다음을 평가합니다. AWS Systems Manager (SSM) 서비스 및 리소스

이러한 제어 기능을 모두 사용할 수 있는 것은 아닙니다. AWS 리전. 자세한 내용은 을 참조하십시오리전별 제어 기능 사용 가능 여부.

[SSM.1] Amazon EC2 인스턴스는 다음과 같이 관리해야 합니다. AWS Systems Manager

관련 요구 사항: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), 5 (2), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8) NIST.800-53.r5 SA-3, NIST.800-53.r5 SA-1 NIST .800-53.r5 SI-2 (3)

범주: 식별 > 인벤토리

심각도: 중간

평가된 리소스: AWS::EC2::Instance

필수 사항 AWS Config 레코딩 리소스: AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory

AWS Config 규칙: ec2-instance-managed-by-systems-manager

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 계정에서 중지되고 실행 중인 EC2 인스턴스가 다음에 의해 관리되는지 여부를 확인합니다. AWS Systems Manager. Systems Manager는 AWS 서비스 데이터를 보고 제어하는 데 사용할 수 있습니다. AWS 인프라.

Systems Manager는 보안과 규정 준수를 유지하는 데 도움이 되도록 중지 및 실행 중인 관리형 인스턴스를 검사합니다. 관리형 인스턴스는 Systems Manager에 사용하도록 구성된 시스템입니다. 그런 다음 Systems Manager는 탐지된 모든 정책 위반에 대해 보고하거나 수정 조치를 취합니다. 또한 Systems Manager는 관리형 인스턴스를 구성하고 유지 관리하는 데 도움이 됩니다.

자세한 내용은 섹션을 참조하십시오.AWS Systems Manager 사용자 가이드 .

이제 Security Hub가 와 통합되었습니다

Systems Manager를 사용하여 EC2 인스턴스를 관리하려면 다음 페이지에서 Amazon EC2 호스트 관리를 참조하십시오. AWS Systems Manager 사용 설명서. 구성 옵션 섹션에서 기본 선택 사항을 유지하거나 원하는 구성에 맞게 필요에 따라 변경할 수 있습니다.

[SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

관련 요구 사항: PCI DSS v3.2.1/6.2, NIST .800-53.r5 CM-8 (3), .800-53.r5 SI-2, NIST .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (3), .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST

범주: 감지 > 감지 서비스

심각도: 높음

리소스 유형: AWS::SSM::PatchCompliance

AWS Config 규칙: ec2-managedinstance-patch-compliance-status-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 인스턴스에 패치를 설치한 후 Systems Manager 패치 준수 상태가 COMPLIANT 또는 NON_COMPLIANT인지 확인합니다. 규정 준수 상태가 NON_COMPLIANT인 경우 제어가 실패합니다. 제어는 Systems Manager 패치 관리자가 관리하는 인스턴스만 확인합니다.

조직의 필요에 따라 EC2 인스턴스를 패치하면 해당 인스턴스의 공격 대상이 줄어듭니다. AWS 계정.

이제 Security Hub가 와 통합되었습니다

Systems Manager는 패치 정책을 사용하여 관리형 인스턴스에 대한 패치를 구성할 것을 권장합니다. 또한 다음 절차에서 설명한 대로 Systems Manager 문서를 사용하여 인스턴스를 패치할 수 있습니다.

규정 미준수 패치를 해결하려면

  1. 를 여십시오. AWS Systems Manager 에서 콘솔을 https://console.aws.amazon.com/systems-manager/실행하십시오.

  2. 노드 관리에서 명령 실행을 선택한 다음 명령 실행을 선택합니다.

  3. 에 대한 옵션을 선택하세요 AWS-RunPatchBaseline.

  4. 작업설치로 변경합니다.

  5. 수동으로 인스턴스 선택을 선택한 다음 규정 비준수 인스턴스를 선택합니다.

  6. Run(실행)을 선택합니다.

  7. 명령이 완료된 후 패치가 적용된 인스턴스의 새 규정 준수 상태를 모니터링하려면 탐색 창에서 규정 준수를 선택합니다.

[SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

관련 요구 사항: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2), NIST .800-53.r5 CM-8, .800-53.r5 CM-8 (1), NIST .800-53.r5 CM-8 (3), NIST .800-53.r5 SI-2 (3) NIST NIST

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::SSM::AssociationCompliance

AWS Config 규칙: ec2-managedinstance-association-compliance-status-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 다음 상태를 확인합니다. AWS Systems Manager 연결 규정 준수는 인스턴스에서 연결이 실행된 COMPLIANT NON_COMPLIANT 이후이거나 이후입니다. 연결 규정 준수 상태가 NON_COMPLIANT이면 제어가 실패합니다.

State Manager 연결은 관리형 인스턴스에 할당되는 구성입니다. 이러한 구성은 인스턴스에서 관리하려는 상태를 정의합니다. 예를 들어, 연결은 인스턴스에서 안티바이러스 소프트웨어가 설치되어 실행 중이어야 하는지 또는 특정 포트가 닫혀 있어야 하는지를 지정할 수 있습니다.

State Manager 연결을 하나 이상 생성하고 나면 규정 준수 상태 정보를 즉시 볼 수 있습니다. 콘솔에서 또는 다음에 대한 응답으로 규정 준수 상태를 볼 수 있습니다. AWS CLI 명령 또는 해당하는 Systems Manager API 작업 연결의 경우 구성 규정 준수에는 규정 준수 상태(Compliant 또는 Non-compliant)가 표시됩니다. 또한 연결에 할당된 심각도 수준(예: Critical 또는 Medium)도 표시됩니다.

State Manager 연결 규정 준수에 대해 자세히 알아보려면 해당 문서의 State Manager 연결 규정 준수에 대한 정보를 참조하십시오. AWS Systems Manager 사용자 가이드.

이제 Security Hub가 와 통합되었습니다

실패한 연결은 대상 및 Systems Manager 문서 이름을 비롯한 다양한 항목과 관련될 수 있습니다. 이 문제를 해결하려면 먼저 연결 기록을 확인하여 연결을 식별하고 조사해야 합니다. 연결 기록을 보는 방법에 대한 지침은 의 연결 기록 보기를 참조하십시오. AWS Systems Manager 사용 설명서.

조사를 마친 후 연결을 편집하여 식별된 문제를 수정할 수 있습니다. 연결을 편집하여 새 이름, 일정, 심각도 수준 또는 대상을 지정할 수 있습니다. 연결을 수정한 후 AWS Systems Manager 새 버전을 생성합니다. 연결을 편집하는 방법에 대한 지침은 연결 편집 및 새 버전 만들기를 참조하십시오. AWS Systems Manager 사용 설명서.

[SSM.4] SSM 문서는 공개해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::SSM::Document

AWS Config 규칙: ssm-document-not-public

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 다음을 확인합니다. AWS Systems Manager 계정에서 소유한 문서가 공개되어 있는지 확인합니다. 소유자가 있는 Systems Manager 문서가 공용인 경우 이 Self 제어는 실패합니다.

Systems Manager 공개 문서를 사용하면 의도하지 않은 문서 액세스가 허용될 수 있습니다. 공개 Systems Manager 문서에는 계정, 리소스 및 내부 프로세스에 대한 중요한 정보가 노출될 수 있습니다.

사용 사례에서 퍼블릭 공유가 필요한 경우가 아니면 Self가 소유한 Systems Manager 문서에 대한 퍼블릭 공유 설정을 차단하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

Systems Manager 문서에 대한 공용 공유를 차단하려면 다음 SSM 문서의 공개 공유 차단을 참조하십시오. AWS Systems Manager 사용 설명서.