本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Systems Manager 的 Security Hub CSPM 控件
这些 AWS Security Hub CSPM 控制措施评估 AWS Systems Manager (SSM) 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。
## [SSM.1] Amazon EC2 实例应由以下人员管理 AWS Systems Manager
**相关要求:**PCI DSS v3.2.1/2.4、 NIST.800-53.r5 CA-9 (1)、5 (2)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1 5 (8)、nist.800-53.r NIST.800-53.r5 SA-1 5 SI-2 (3) NIST.800-53.r5 SA-3
**类别:**识别 > 清单
**严重性:**中
**评估的资源:**`AWS::EC2::Instance`
**所需的 AWS Config 录制资源:**`AWS::EC2::Instance`,`AWS::SSM::ManagedInstanceInventory`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html)
**计划类型:**已触发变更
**参数:**无
此控件检查您账户中已停止和正在运行的 EC2 实例是否由管理 AWS Systems Manager。您可以使用 S AWS 服务 ystems Manager 来查看和控制您的 AWS 基础架构。
为了帮助您维护安全性和合规性,Systems Manager 会扫描已停止和正在运行的托管实例。托管实例是配置为与 Systems Manager 一起使用的机器。然后,Systems Manager 会报告其检测到的任何策略违规行为或采取纠正措施。Systems Manager 还帮助您配置和维护托管实例。要了解有关更多信息,请参阅 [AWS Systems Manager 用户指南](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)。
**注意**
此控件会生成由管理的 AWS 弹性灾难恢复 复制服务器实例的 EC2 实例的`FAILED`调查结果 AWS。复制服务器实例是一个 EC2 实例,它由自动启动 AWS 弹性灾难恢复 ,用于支持源服务器的持续数据复制。 AWS 故意从这些实例中移除 Systems Manager (SSM) 代理,以保持隔离并帮助防止潜在的意外访问路径。
### 修复
有关使用管理 EC2 实例的信息 AWS Systems Manager,请参阅*AWS Systems Manager 用户指南*[中的 Amazon EC2 主机管理](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-host-management.html)。在 AWS Systems Manager 控制台的 “**配置选项**” 部分,您可以保留默认设置或根据需要对其进行更改,以满足您的首选配置。
## [SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
**相关要求:**NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、NIST.800-171.r2 3.7.1、PCI DSS v3.2.1/6.2、PCI DSS v4.0.1/2.2.1、PCI DSS v4.0.1/6.3.3
**类别:**检测 > 检测服务
**严重性:**高
**资源类型:**`AWS::SSM::PatchCompliance`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html)
**计划类型:**已触发变更
**参数:**无
该控件在实例上安装补丁后检查 Systems Manager 补丁合规性的合规状态是否为 `COMPLIANT` 或 `NON_COMPLIANT`。如果合规性状态为 `NON_COMPLIANT`,则控制失败。该控件仅检查 Systems Manager Patch Manager 管理的实例。
根据您的组织的要求修补 EC2 实例可以减少 AWS 账户的攻击面。
### 修复
Systems Manager 建议使用[补丁策略](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-policies.html)为您的托管实例配置补丁。您也可以使用 [Systems Manager 文档](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html)(如以下过程所述)来修补实例。
**修复不合规的补丁**
1. 打开 AWS Systems Manager 控制台,网址为[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/)。
1. 对于**节点管理**,选择**运行命令**,然后选择**运行命令**。
1. 选择 **AWS-** 的选项RunPatchBaseline。
1. 将**操作**改为**安装**。
1. 选择**手动选择实例**,然后选择不合规的实例。
1. 选择**运行**。
1. 命令完成后,要监控已修补实例的新合规性状态,请在导航窗格中选择**合规性**。
## [SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT
**相关要求:** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-53.r5 CM-2 (2)、nist.800-53.r5 CM-8、nist.800-53.r5 CM-8 (1)、nist.800-53.r5 CM-8 (3)、nist.800-53.r5 SI-2 (3),PCI DSS v3.2.1/2.4,PCI DSS v4.0.1/2.1,PCI DSS v4.0.1/6.3.3
**类别:**检测 > 检测服务
**严重性:**低
**资源类型:**`AWS::SSM::AssociationCompliance`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 AWS Systems Manager 关联合规性的状态是`COMPLIANT`还是关联在实例上运行`NON_COMPLIANT`之后。如果关联合规性状态为 `NON_COMPLIANT`,则控制失败。
状态管理器关联是分配给托管实例的配置。该配置定义要在实例上保持的状态。例如,关联可以指定必须在实例上安装并运行防病毒软件,或者必须关闭某些端口。
创建一个或多个状态管理器关联后,您可以立即获得合规状态信息。您可以在控制台中查看合规性状态,也可以在响应 AWS CLI 命令或相应的 Systems Manager API 操作时查看合规性状态。对于关联,配置合规性显示合规性状态(`Compliant` 或 `Non-compliant`)。它还显示分配给关联的严重性级别,例如 `Critical` 或 `Medium`。
要了解有关 State Manager 关联合规性的更多信息,请参阅 *AWS Systems Manager 用户指南*中的[关于 State Manager 关联合规性](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association)。
### 修复
失败的关联可能与不同的事物相关,包括目标和 Systems Manager 文档名称。要修复此问题,您必须首先通过查看关联历史记录来识别和调查关联。有关查看关联历史记录的说明,请参阅 *AWS Systems Manager 用户指南*中的[查看关联历史记录](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-history.html)。
调查完成后,您可以编辑关联以更正已结果的问题。您可以编辑关联以指定新名称、计划、严重级别或目标。编辑关联后, AWS Systems Manager 创建新版本。有关编辑关联的说明,请参阅 *AWS Systems Manager 用户指南*中的[编辑和创建关联的新版本](https://docs.aws.amazon.com/systems-manager/latest/userguide/state-manager-associations-edit.html)。
## [SSM.4] SSM 文档不应公开
**相关要求:** NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4、 NIST.800-53.r5 AC-4 (21)、 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 (9)
**类别:**保护 > 安全网络配置 > 不公开访问的资源
**严重性:**严重
**资源类型:**`AWS::SSM::Document`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-not-public.html)
**计划类型:**定期
**参数:**无
此控件检查账户拥有的 AWS Systems Manager 文档是否公开。如果所有者为 `Self` 的 Systems Manager 文档是公开的,则此控件会失败。
公开的 Systems Manager 文档可能会允许意外访问您的文档。公开的 Systems Manager 文档可能会公开有关账户、资源和内部流程的有价值的信息。
除非使用案例要求公开共享,否则我们建议您阻止对所有者为 `Self` 的 Systems Manager 文档进行公开共享设置。
### 修复
有关配置 Systems Manager 文档共享的信息,请参阅《AWS Systems Manager 用户指南》**中的[共享 SSM 文档](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#ssm-how-to-share)。
## [SSM.5] 应标记 SSM 文档
**类别:**识别 > 清单 > 标记
**严重性:**低
**资源类型:**`AWS::SSM::Document`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-document-tagged.html)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| requiredKeyTags | 必须分配给所评估资源的非系统标签键列表。标签键区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | 无默认值 |
此控件检查 AWS Systems Manager 文档是否具有`requiredKeyTags`参数指定的标签密钥。如果文档没有任何标签键,或者缺少 `requiredKeyTags` 参数指定的所有键,则该控件会失败。如果没有为 `requiredKeyTags` 参数指定任何值,则该控件仅检查是否存在标签键,如果文档没有任何标签键,则该控件会失败。该控件会忽略系统标签,这些标签会自动应用,并且带有 `aws:` 前缀。该控件不评估 Amazon 拥有的 Systems Manager 文档。
标签是您创建并分配给 AWS 资源的标签。每个标签都包含一个必需的标签键和一个可选的标签值。您可以使用标签,按用途、所有者、环境或其他标准对资源进行分类。它们可帮助您识别、组织、搜索和筛选资源。它们还可以帮助您跟踪资源所有者的操作和通知。您还可以使用标签来实施基于属性的访问权限控制(ABAC)作为授权策略。有关 ABAC 策略的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权根据属性定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。有关标签的更多信息,请参阅《[标签 AWS 资源和标签编辑器用户指南》](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。
**注意**
请勿在标签中存储个人身份信息(PII)或其他机密或敏感信息。许多人都可以访问标签 AWS 服务。它们不适合用于私有或敏感数据。
### 修复
要向 AWS Systems Manager 文档添加标签,您可以使用 AWS Systems Manager API 的[AddTagsToResource](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_AddTagsToResource.html)操作,或者,如果您使用的是 AWS CLI,则运行[add-tags-to-resource](https://docs.aws.amazon.com/cli/latest/reference/ssm/add-tags-to-resource.html)命令。您还可以使用 AWS Systems Manager 控制台。
## [SSM.6] SSM 自动化应启用日志记录 CloudWatch
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::::Account`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-logging-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查是否已启用 Amazon CloudWatch 日志功能 AWS Systems Manager (SSM) 自动化。如果未为 SSM 自动化启用 CloudWatch 日志记录,则控件将失败。
SSM Automation 是一 AWS Systems Manager 款工具,可帮助您构建自动化解决方案,以便使用预定义或自定义运行手册大规模部署、配置和管理 AWS 资源。为了满足贵组织的运营或安全要求,您可能需要提供其运行的脚本的记录。您可以将 SSM Automation 配置为将运行手册中`aws:executeScript`操作的输出发送到您指定的 Amazon Log CloudWatch s 日志组。使用 CloudWatch 日志,您可以监控、存储和访问各种日志文件 AWS 服务。
### 修复
有关启用 SSM 自动化的 CloudWatch 日志记录的信息,请参阅《*AWS Systems Manager 用户指南*》中的[使用 CloudWatch 日志记录自动化操作输出](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-action-logging.html)。
## [SSM.7] SSM 文档应启用“阻止公开共享”设置
**类别:**保护 > 安全访问管理 > 资源不公开访问
**严重性:**严重
**资源类型:**`AWS::::Account`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html](https://docs.aws.amazon.com/config/latest/developerguide/ssm-automation-block-public-sharing.html)
**计划类型:**定期
**参数:**无
此控件检查是否为 AWS Systems Manager 文档启用了阻止公开共享设置。如果为 Systems Manager 文档禁用了阻止公开共享设置,则此控件会失败。
AWS Systems Manager (SSM) 文档的屏蔽公开共享设置是账户级别的设置。启用此设置可防止对 SSM 文档进行不需要的访问。启用此设置后,您的更改不会影响您当前与公众共享的任何 SSM 文档。除非您的使用案例要求与公众共享 SSM 文档,否则我们建议您启用阻止公开共享设置。每种设置可能有所不同 AWS 区域。
### 修复
有关为 AWS Systems Manager (SSM)文档启用阻止公开共享设置的信息,请参阅《AWS Systems Manager 用户指南》**中的[阻止 SSM 文档的公开共享](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents-ssm-sharing.html#block-public-access)。