Creación de un programa de gestión de vulnerabilidades escalable en AWS - AWS Guía prescriptiva
Destinatarios previstosObjetivos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un programa de gestión de vulnerabilidades escalable en AWS

Anna McAbee y Megan O'Neil, Amazon Web Services ()AWS

Octubre de 2023 (historial del documento)

Según la tecnología subyacente que utilice, una variedad de herramientas y escaneos pueden generar hallazgos de seguridad en un entorno de nube. Si no se implementan procesos para gestionar estos hallazgos, pueden empezar a acumularse y, a menudo, dar lugar a miles o decenas de miles de hallazgos en un corto período de tiempo. Sin embargo, con un programa estructurado de gestión de vulnerabilidades y una operacionalización adecuada de sus herramientas, su organización puede gestionar y clasificar una gran cantidad de hallazgos de diversas fuentes.

La gestión de vulnerabilidades se centra en descubrir, priorizar, evaluar, corregir e informar sobre las vulnerabilidades. La administración de parches, por otro lado, se centra en parchear o actualizar el software para eliminar o corregir las vulnerabilidades de seguridad. La administración de parches es solo un aspecto de la administración de vulnerabilidades. Por lo general, se recomienda establecer un patch-in-place proceso (también conocido como mitigate-in-placeproceso) para abordar situaciones críticas en las que es necesario aplicar parches ahora, y un proceso estándar que ejecute de forma regular para lanzar paquetes de software, contenedores o imágenes de Amazon Machine Images (AMI) parcheados. Estos procesos ayudan a preparar a su organización para responder rápidamente a una vulnerabilidad de día cero. Para los sistemas críticos de un entorno de producción, utilizar un patch-in-place proceso puede ser más rápido y fiable que implementar una nueva AMI en toda la flota. En el caso de los parches programados con regularidad, como los parches del sistema operativo (SO) y de software, le recomendamos que los cree y pruebe mediante procesos de desarrollo estándar, como haría con cualquier cambio a nivel de software. Esto proporciona una mayor estabilidad para los modos de funcionamiento estándar. Puede utilizar Patch Manager, una funcionalidad u otros productos de terceros como patch-in-place soluciones. AWS Systems Manager Para obtener más información sobre el uso del administrador de parches, consulte Administración de parches en AWS Cloud Adoption Framework: Operations Perspective. Además, puede utilizar EC2 Image Builder para automatizar la creación, la administración y el despliegue de imágenes personalizadas up-to-date y de servidor.

La creación de un programa de gestión de vulnerabilidades escalable AWS implica gestionar las vulnerabilidades tradicionales de software y red, además de los riesgos de configuración de la nube. Un riesgo de configuración en la nube, como un depósito de Amazon Simple Storage Service (Amazon S3) sin cifrar, debería seguir un proceso de clasificación y corrección similar al de una vulnerabilidad de software. En ambos casos, el equipo de aplicaciones debe ser el propietario y responsable de la seguridad de la aplicación, incluida la infraestructura subyacente. Esta distribución de la propiedad es clave para un programa de gestión de vulnerabilidades eficaz y escalable.

Esta guía explica cómo agilizar la identificación y la corrección de las vulnerabilidades para reducir el riesgo general. Utilice las siguientes secciones para crear e iterar su programa de gestión de vulnerabilidades:

  1. Prepárese: prepare a su personal, sus procesos y su tecnología para identificar, evaluar y corregir las vulnerabilidades de su entorno.

  2. Clasifique y corrija: envíe los hallazgos de seguridad a las partes interesadas pertinentes, identifique la acción correctiva adecuada y, a continuación, tome las medidas correctivas.

  3. Informe y mejore: utilice los mecanismos de presentación de informes para identificar las oportunidades de mejora y, a continuación, modifique su programa de gestión de vulnerabilidades.

La creación de un programa de gestión de vulnerabilidades en la nube suele implicar iteraciones. Dé prioridad a las recomendaciones de esta guía y revise periódicamente su cartera pendiente para mantenerse al día con los cambios tecnológicos y los requisitos de su empresa.

Destinatarios previstos

Esta guía está destinada a grandes empresas que tienen tres equipos principales responsables de los hallazgos relacionados con la seguridad: un equipo de seguridad, un Cloud Center of Excellence (CCoE) o equipo de nube y equipos de aplicaciones (o desarrolladores). Esta guía utiliza los modelos operativos empresariales más comunes y se basa en esos modelos operativos para permitir una respuesta más eficiente a los hallazgos de seguridad y mejorar los resultados de seguridad. Las organizaciones que lo utilizan AWS pueden tener estructuras y modelos operativos diferentes; sin embargo, puede modificar muchos de los conceptos de esta guía para adaptarlos a diferentes modelos operativos y organizaciones más pequeñas.

Objetivos

Esta guía puede ayudarle a usted y a su organización a:

  • Desarrolle políticas para agilizar la gestión de vulnerabilidades y garantizar la rendición de cuentas

  • Establezca mecanismos para distribuir la responsabilidad de la seguridad entre los equipos de aplicaciones

  • Configure Servicios de AWS según las mejores prácticas para una gestión escalable de las vulnerabilidades

  • Distribuya la propiedad de los hallazgos de seguridad

  • Establezca mecanismos para informar sobre su programa de gestión de vulnerabilidades e iterarlo

  • Mejore la visibilidad de la búsqueda de seguridad y mejore la postura general de seguridad