Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aufbau eines skalierbaren Vulnerability Management-Programms auf AWS
Anna McAbee und Megan O'Neil, Amazon Web Services ()AWS
Oktober 2023 (Geschichte der Dokumente)
Abhängig von der zugrunde liegenden Technologie, die Sie verwenden, können in einer Cloud-Umgebung verschiedene Tools und Scans zu Sicherheitsergebnissen führen. Ohne Prozesse zur Verarbeitung dieser Erkenntnisse können sie sich anhäufen, was oft zu Tausenden bis Zehntausenden von Ergebnissen in kurzer Zeit führt. Mit einem strukturierten Schwachstellen-Management-Programm und einer ordnungsgemäßen Operationalisierung Ihrer Tools kann Ihr Unternehmen jedoch eine große Anzahl von Erkenntnissen aus unterschiedlichen Quellen verarbeiten und analysieren.
Das Vulnerability Management konzentriert sich auf die Entdeckung, Priorisierung, Bewertung, Behebung und Meldung von Sicherheitslücken. Das Patch-Management konzentriert sich dagegen auf das Patchen oder Aktualisieren von Software, um Sicherheitslücken zu beseitigen oder zu beheben. Das Patch-Management ist nur ein Aspekt des Schwachstellenmanagements. Im Allgemeinen empfehlen wir, sowohl einen patch-in-place Prozess (auch mitigate-in-placeProzess genannt) für kritische Patch-Now-Szenarien als auch einen Standardprozess einzurichten, den Sie regelmäßig ausführen, um gepatchte Amazon Machine Images (AMIs), Container oder Softwarepakete zu veröffentlichen. Diese Prozesse tragen dazu bei, Ihr Unternehmen darauf vorzubereiten, schnell auf eine Zero-Day-Sicherheitslücke zu reagieren. Bei kritischen Systemen in einer Produktionsumgebung kann die Verwendung eines patch-in-place Prozesses schneller und zuverlässiger sein als die Einführung eines neuen AMI für die gesamte Flotte. Für regelmäßig geplante Patches, wie Betriebssystem- (OS) und Softwarepatches, empfehlen wir, dass Sie beim Erstellen und Testen standardmäßige Entwicklungsprozesse verwenden, genau wie bei jeder Änderung auf Softwareebene. Dies bietet eine bessere Stabilität für Standardbetriebsmodi. Sie können Patch Manager, eine Funktion von AWS Systems Manager oder andere Produkte von Drittanbietern als patch-in-place Lösungen verwenden. Weitere Informationen zur Verwendung von Patch Manager finden Sie unter Patch-Management im AWS Cloud Adoption Framework: Operations Perspective. Außerdem können Sie EC2 Image Builder verwenden, um die Erstellung, Verwaltung und Bereitstellung von benutzerdefinierten Images und up-to-date Server-Images zu automatisieren.
Der Aufbau eines skalierbaren Vulnerability Management-Programms AWS beinhaltet neben Cloud-Konfigurationsrisiken auch die Verwaltung herkömmlicher Software- und Netzwerkschwachstellen. Ein Cloud-Konfigurationsrisiko, wie z. B. ein unverschlüsselter Amazon Simple Storage Service (Amazon S3) -Bucket, sollte einem ähnlichen Triage- und Behebungsprozess folgen wie eine Softwareschwachstelle. In beiden Fällen muss das Anwendungsteam für die Sicherheit seiner Anwendung, einschließlich der zugrunde liegenden Infrastruktur, verantwortlich sein und dafür verantwortlich sein. Diese Eigentumsverteilung ist entscheidend für ein effektives und skalierbares Schwachstellen-Management-Programm.
In diesem Leitfaden wird erläutert, wie die Identifizierung und Behebung von Sicherheitslücken optimiert werden kann, um das Gesamtrisiko zu reduzieren. Verwenden Sie die folgenden Abschnitte, um Ihr Schwachstellen-Management-Programm aufzubauen und weiterzuentwickeln:
-
Vorbereitung — Bereiten Sie Ihre Mitarbeiter, Prozesse und Technologien darauf vor, Sicherheitslücken in Ihrer Umgebung zu identifizieren, zu bewerten und zu beheben.
-
Triage und Behebung — Leite die Sicherheitsergebnisse an die relevanten Beteiligten weiter, identifiziere die geeigneten Abhilfemaßnahmen und ergreife dann die entsprechenden Abhilfemaßnahmen.
-
Berichterstattung und Verbesserung — Verwenden Sie Berichtsmechanismen, um Verbesserungsmöglichkeiten zu identifizieren, und führen Sie anschließend Ihr Schwachstellen-Management-Programm weiter aus.
Der Aufbau eines Cloud-Vulnerability Management-Programms erfordert oft mehrere Wiederholungen. Priorisieren Sie die Empfehlungen in diesem Leitfaden und überprüfen Sie regelmäßig Ihren Backlog, um über technologische Veränderungen und Ihre Geschäftsanforderungen auf dem Laufenden zu bleiben.
Zielgruppe
Dieser Leitfaden richtet sich an große Unternehmen mit drei Hauptteams, die für sicherheitsrelevante Erkenntnisse verantwortlich sind: ein Sicherheitsteam, ein Cloud Center of Excellence (CCoE) oder ein Cloud-Team und Anwendungs- (oder Entwickler -) Teams. Dieser Leitfaden verwendet die gängigsten Betriebsmodelle von Unternehmen und baut auf diesen Betriebsmodellen auf, um eine effizientere Reaktion auf Sicherheitserkenntnisse zu ermöglichen und die Sicherheitsergebnisse zu verbessern. Organizations, die AWS dies verwenden, haben möglicherweise unterschiedliche Strukturen und Betriebsmodelle. Sie können jedoch viele der Konzepte in diesem Handbuch ändern, um sie an unterschiedliche Betriebsmodelle und kleinere Organisationen anzupassen.
Ziele
Dieser Leitfaden kann Ihnen und Ihrer Organisation helfen:
-
Entwickeln Sie Richtlinien, um das Schwachstellenmanagement zu optimieren und die Rechenschaftspflicht sicherzustellen
-
Richten Sie Mechanismen ein, um die Verantwortung für die Sicherheit auf die Anwendungsteams zu verteilen
-
Konfigurieren Sie die relevanten AWS-Services Komponenten gemäß den Best Practices für ein skalierbares Schwachstellenmanagement
-
Verteilen Sie die Eigentumsrechte an den Sicherheitsergebnissen
-
Richten Sie Mechanismen ein, um über Ihr Schwachstellen-Management-Programm zu berichten und es weiterzuentwickeln
-
Verbessern Sie die Sichtbarkeit von Sicherheitslücken und verbessern Sie die allgemeine Sicherheitslage