Membangun program manajemen kerentanan yang dapat diskalakan AWS - AWS Bimbingan Preskriptif
Audiens yang ditujuTujuan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membangun program manajemen kerentanan yang dapat diskalakan AWS

Anna McAbee dan Megan O'Neil, Amazon Web Services ()AWS

Oktober 2023 (sejarah dokumen)

Bergantung pada teknologi dasar yang Anda gunakan, berbagai alat dan pemindaian dapat menghasilkan temuan keamanan di lingkungan cloud. Tanpa proses untuk menangani temuan ini, mereka dapat mulai menumpuk, seringkali mengarah ke ribuan hingga puluhan ribu temuan dalam waktu singkat. Namun, dengan program manajemen kerentanan terstruktur dan operasionalisasi perkakas Anda yang tepat, organisasi Anda dapat menangani dan melakukan triase sejumlah besar temuan dari beragam sumber.

Manajemen kerentanan berfokus pada menemukan, memprioritaskan, menilai, memulihkan, dan melaporkan kerentanan. Manajemen patch, di sisi lain, berfokus pada menambal atau memperbarui perangkat lunak untuk menghapus atau memulihkan kerentanan keamanan. Manajemen patch hanyalah salah satu aspek dari manajemen kerentanan. Secara umum, kami merekomendasikan untuk membuat patch-in-place proses (juga dikenal sebagai mitigate-in-placeproses) untuk mengatasi skenario kritis, patch-now, dan proses standar yang Anda jalankan pada irama reguler untuk merilis Gambar Mesin Amazon (AMI), kontainer, atau paket perangkat lunak yang ditambal. Proses ini membantu mempersiapkan organisasi Anda untuk merespons kerentanan zero-day dengan cepat. Untuk sistem kritis dalam lingkungan produksi, menggunakan patch-in-place proses bisa lebih cepat dan lebih andal daripada meluncurkan AMI baru di seluruh armada. Untuk patch yang dijadwalkan secara teratur, seperti sistem operasi (OS) dan patch perangkat lunak, kami menyarankan Anda membangun dan menguji menggunakan proses pengembangan standar, seperti halnya perubahan tingkat perangkat lunak. Ini memberikan stabilitas yang lebih baik untuk mode operasi standar. Anda dapat menggunakan Patch Manager, kemampuan AWS Systems Manager, atau produk pihak ketiga lainnya sebagai patch-in-place solusi. Untuk informasi selengkapnya tentang penggunaan Patch Manager, lihat Manajemen patch di AWS Cloud Adoption Framework: Perspektif Operasi. Selain itu, Anda dapat menggunakan EC2 Image Builder untuk mengotomatiskan pembuatan, pengelolaan, dan penyebaran gambar yang disesuaikan up-to-date dan server.

Membangun program manajemen kerentanan yang dapat diskalakan AWS melibatkan pengelolaan perangkat lunak tradisional dan kerentanan jaringan selain risiko konfigurasi cloud. Risiko konfigurasi cloud, seperti bucket Amazon Simple Storage Service (Amazon S3) yang tidak terenkripsi, harus mengikuti proses triase dan remediasi yang serupa dengan kerentanan perangkat lunak. Dalam kedua kasus ini, tim aplikasi harus memiliki dan bertanggung jawab atas keamanan aplikasi mereka, termasuk infrastruktur yang mendasarinya. Distribusi kepemilikan ini adalah kunci untuk program manajemen kerentanan yang efektif dan terukur.

Panduan ini membahas cara merampingkan identifikasi dan remediasi kerentanan untuk mengurangi risiko secara keseluruhan. Gunakan bagian berikut untuk membangun dan mengulangi program manajemen kerentanan Anda:

  1. Siapkan — Persiapkan orang, proses, dan teknologi Anda untuk mengidentifikasi, menilai, dan memulihkan kerentanan di lingkungan Anda.

  2. Triase dan remediasi — Rutekan temuan keamanan ke pemangku kepentingan yang relevan, identifikasi tindakan remediasi yang tepat, dan kemudian lakukan tindakan remediasi.

  3. Laporkan dan tingkatkan — Gunakan mekanisme pelaporan untuk mengidentifikasi peluang perbaikan, lalu ulangi program manajemen kerentanan Anda.

Membangun program manajemen kerentanan cloud sering kali melibatkan iterasi. Prioritaskan rekomendasi dalam panduan ini dan secara teratur meninjau kembali backlog Anda untuk tetap mengikuti perkembangan teknologi dan persyaratan bisnis Anda.

Audiens yang dituju

Panduan ini ditujukan untuk perusahaan besar yang memiliki tiga tim utama yang bertanggung jawab atas temuan terkait keamanan: tim keamanan, Cloud Center of Excellence (CCoE) atau tim cloud, dan tim aplikasi (atau pengembang). Panduan ini menggunakan model operasi perusahaan yang paling umum dan dibangun di atas model operasi tersebut untuk memungkinkan respons yang lebih efisien terhadap temuan keamanan dan meningkatkan hasil keamanan. Organizations using AWS mungkin memiliki struktur dan model operasi yang berbeda; Namun, Anda dapat memodifikasi banyak konsep dalam panduan ini agar sesuai dengan model operasi yang berbeda dan organisasi yang lebih kecil.

Tujuan

Panduan ini dapat membantu Anda dan organisasi Anda:

  • Mengembangkan kebijakan untuk merampingkan manajemen kerentanan dan memastikan akuntabilitas

  • Menetapkan mekanisme untuk mendistribusikan tanggung jawab untuk keamanan kepada tim aplikasi

  • Konfigurasikan yang relevan AWS layanan sesuai dengan praktik terbaik untuk manajemen kerentanan yang dapat diskalakan

  • Mendistribusikan kepemilikan temuan keamanan

  • Menetapkan mekanisme untuk melaporkan dan mengulangi program manajemen kerentanan Anda

  • Meningkatkan visibilitas pencarian keamanan dan meningkatkan postur keamanan secara keseluruhan