Systems Manager에 대한 Security Hub 제어 - AWS Security Hub
[SSM.1] Amazon EC2 인스턴스는에서 관리해야 합니다. AWS Systems Manager[SSM.2] 패치 설치 COMPLIANT 후 Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 여야 합니다.[SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 여야 합니다. COMPLIANT [SSM.4] SSM 문서는 공개되어서는 안 됩니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Systems Manager에 대한 Security Hub 제어

이러한 AWS Security Hub 제어는 AWS Systems Manager (SSM) 서비스 및 리소스를 평가합니다.

이러한 제어는 일부만 사용할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[SSM.1] Amazon EC2 인스턴스는에서 관리해야 합니다. AWS Systems Manager

관련 요구 사항: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-15(2), NIST.800-53.r5 SA-15(8), NIST.800-53.r5 SA-3, NIST.800-53.r5 SI-2(3)

범주: 식별 > 인벤토리

심각도: 중간

평가된 리소스: AWS::EC2::Instance

필수 AWS Config 레코딩 리소스: AWS::EC2::Instance, AWS::SSM::ManagedInstanceInventory

AWS Config 규칙: ec2-instance-managed-by-systems-manager

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 계정에서 중지되고 실행 중인 EC2 인스턴스가에서 관리되는지 확인합니다 AWS Systems Manager. Systems Manager는 인프라를 보고 제어하는 AWS 데 사용할 수 AWS 서비스 있는 입니다.

Systems Manager는 보안과 규정 준수를 유지하는 데 도움이 되도록 중지 및 실행 중인 관리형 인스턴스를 검사합니다. 관리형 인스턴스는 Systems Manager에 사용하도록 구성된 시스템입니다. 그런 다음 Systems Manager는 탐지된 모든 정책 위반에 대해 보고하거나 수정 조치를 취합니다. 또한 Systems Manager는 관리형 인스턴스를 구성하고 유지 관리하는 데 도움이 됩니다.

자세한 내용은 AWS Systems Manager 사용 설명서를 참조하세요.

문제 해결

Systems Manager를 사용하여 EC2 인스턴스를 관리하려면 AWS Systems Manager 사용 설명서Amazon EC2 호스트 관리를 참조하세요. 구성 옵션 섹션에서 기본 선택 사항을 유지하거나 원하는 구성에 맞게 필요에 따라 변경할 수 있습니다.

[SSM.2] 패치 설치 COMPLIANT 후 Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 여야 합니다.

관련 요구 사항: NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(3), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v3.2.1/6.2, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

범주: 감지 > 감지 서비스

심각도: 높음

리소스 유형: AWS::SSM::PatchCompliance

AWS Config 규칙: ec2-managedinstance-patch-compliance-status-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 인스턴스에 패치를 설치한 후 Systems Manager 패치 준수 상태가 COMPLIANT 또는 NON_COMPLIANT인지 확인합니다. 규정 준수 상태가 NON_COMPLIANT인 경우, 제어가 실패합니다. 제어는 Systems Manager 패치 관리자가 관리하는 인스턴스만 확인합니다.

조직에서 요구하는 대로 EC2 인스턴스에 패치를 적용하면의 공격 표면이 줄어듭니다 AWS 계정.

문제 해결

Systems Manager는 패치 정책을 사용하여 관리형 인스턴스에 대한 패치를 구성할 것을 권장합니다. 또한 다음 절차에서 설명한 대로 Systems Manager 문서를 사용하여 인스턴스를 패치할 수 있습니다.

규정 미준수 패치를 해결하려면

  1. 에서 AWS Systems Manager 콘솔을 엽니다https://console.aws.amazon.com/systems-manager/.

  2. 노드 관리에서 명령 실행을 선택한 다음 명령 실행을 선택합니다.

  3. AWS-RunPatchBaseline에 대한 옵션을 선택합니다.

  4. 작업설치로 변경합니다.

  5. 수동으로 인스턴스 선택을 선택한 다음 규정 비준수 인스턴스를 선택합니다.

  6. Run(실행)을 선택합니다.

  7. 명령이 완료된 후 패치가 적용된 인스턴스의 새로운 규정 준수 상태를 모니터링하려면 탐색 창에서 규정 준수를 선택합니다.

[SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 여야 합니다. COMPLIANT

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SI-2(3), PCI DSS v3.2.1/2.4, PCI DSS v4.0.1/2.2.1, PCI DSS v4.0.1/6.3.3

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::SSM::AssociationCompliance

AWS Config 규칙: ec2-managedinstance-association-compliance-status-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 AWS Systems Manager 연결 규정 준수 상태가 인스턴스에서 연결이 실행된 COMPLIANT NON_COMPLIANT 후인지 여부를 확인합니다. 연결 규정 준수 상태가 NON_COMPLIANT이면 제어가 실패합니다.

State Manager 연결은 관리형 인스턴스에 할당되는 구성입니다. 이러한 구성은 인스턴스에서 관리하려는 상태를 정의합니다. 예를 들어, 연결은 인스턴스에서 안티바이러스 소프트웨어가 설치되어 실행 중이어야 하는지 또는 특정 포트가 닫혀 있어야 하는지를 지정할 수 있습니다.

State Manager 연결을 하나 이상 생성하고 나면 규정 준수 상태 정보를 즉시 볼 수 있습니다. 콘솔에서 또는 AWS CLI 명령이나 해당 Systems Manager API 작업에 대한 응답으로 규정 준수 상태를 볼 수 있습니다. 연결의 경우, 구성 규정 준수에는 규정 준수 상태(Compliant 또는 Non-compliant)가 표시됩니다. 또한 연결에 할당된 심각도 수준(예: Critical 또는 Medium)도 표시됩니다.

State Manager 연결 규정 준수에 대한 자세한 내용은 AWS Systems Manager 사용자 가이드에서 State Manager 연결 규정 준수 정보를 참조하세요.

문제 해결

실패한 연결은 대상 및 시스템 관리자 문서 이름을 비롯한 다양한 요인과 관련될 수 있습니다. 이 문제를 해결하려면 먼저 연결 기록을 확인하여 연결을 식별하고 조사해야 합니다. 연결 기록을 보는 방법에 대한 지침은 AWS Systems Manager 사용 설명서연결 기록 보기를 참조하세요.

조사를 마친 후 연결을 편집하여 식별된 문제를 수정할 수 있습니다. 연결을 편집하여 새로운 이름, 일정, 심각도 수준 또는 대상을 지정할 수 있습니다. 연결을 편집한 후는 새 버전을 AWS Systems Manager 생성합니다. 연결을 편집하는 방법에 대한 지침은 AWS Systems Manager 사용 설명서연결 편집 및 새로운 버전 생성을 참조하세요.

[SSM.4] SSM 문서는 공개되어서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::SSM::Document

AWS Config 규칙: ssm-document-not-public

스케줄 유형: 주기적

파라미터: 없음

이 제어는 계정이 소유한 AWS Systems Manager 문서가 퍼블릭인지 확인합니다. 소유자가 Self인 시스템 관리자 문서가 공개되면 이 제어가 실패합니다.

공개된 시스템 관리자 문서는 문서에 의도하지 않은 액세스를 허용할 수 있습니다. 공개 시스템 관리자 문서는 계정, 리소스, 내부 프로세스에 대한 중요한 정보를 노출할 수 있습니다.

사용 사례에서 퍼블릭 공유가 필요한 경우가 아니면 Self가 소유한 Systems Manager 문서에 대한 퍼블릭 공유 설정을 차단하는 것이 좋습니다.

문제 해결

Systems Manager 문서에 대한 퍼블릭 공유를 차단하려면 AWS Systems Manager 사용 설명서 SSM 문서에 대한 퍼블릭 공유 차단을 참조하세요.