Creazione di un programma scalabile di gestione delle vulnerabilità su AWS - AWS Guida prescrittiva
Destinatari principaliObiettivi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un programma scalabile di gestione delle vulnerabilità su AWS

Anna McAbee e Megan O'Neil, Amazon Web Services ()AWS

Ottobre 2023 (cronologia del documento)

A seconda della tecnologia di base utilizzata, una varietà di strumenti e scansioni può generare risultati di sicurezza in un ambiente cloud. Senza processi in atto per gestire questi risultati, possono iniziare ad accumularsi, portando spesso a migliaia o decine di migliaia di risultati in un breve lasso di tempo. Tuttavia, con un programma strutturato di gestione delle vulnerabilità e una corretta operatività degli strumenti, l'organizzazione può gestire e valutare un gran numero di risultati provenienti da fonti diverse.

La gestione delle vulnerabilità si concentra sulla scoperta, l'assegnazione delle priorità, la valutazione, la correzione e la segnalazione delle vulnerabilità. La gestione delle patch, d'altra parte, si concentra sull'applicazione di patch o sull'aggiornamento del software per rimuovere o correggere le vulnerabilità di sicurezza. La gestione delle patch è solo un aspetto della gestione delle vulnerabilità. In genere, consigliamo di stabilire sia un patch-in-place processo (noto anche come mitigate-in-placeprocesso) per affrontare scenari critici con applicazione immediata della patch, sia un processo standard da eseguire a cadenza regolare per rilasciare Amazon Machine Images (AMI), contenitori o pacchetti software con patch. Questi processi aiutano a preparare l'organizzazione a rispondere rapidamente a una vulnerabilità zero-day. Per i sistemi critici in un ambiente di produzione, l'utilizzo di un patch-in-place processo può essere più rapido e affidabile rispetto all'implementazione di una nuova AMI in tutta la flotta. Per le patch pianificate regolarmente, come le patch del sistema operativo (OS) e del software, si consiglia di creare e testare utilizzando processi di sviluppo standard, come qualsiasi modifica a livello di software. Ciò offre una migliore stabilità per le modalità operative standard. È possibile utilizzare Patch Manager, una funzionalità di AWS Systems Manager o altri prodotti di terze parti come patch-in-place soluzioni. Per ulteriori informazioni sull'utilizzo di Patch Manager, consulta Gestione delle patch in AWS Cloud Adoption Framework: Operations Perspective. Inoltre, puoi utilizzare EC2 Image Builder per automatizzare la creazione, la gestione e l'implementazione di up-to-date immagini personalizzate e server.

La creazione di un programma scalabile di gestione delle vulnerabilità AWS implica la gestione delle vulnerabilità tradizionali del software e della rete oltre ai rischi di configurazione del cloud. Un rischio legato alla configurazione cloud, ad esempio un bucket Amazon Simple Storage Service (Amazon S3) non crittografato, dovrebbe seguire un processo di valutazione e correzione simile a quello di una vulnerabilità del software. In entrambi i casi, il team dell'applicazione deve possedere ed essere responsabile della sicurezza della propria applicazione, inclusa l'infrastruttura sottostante. Questa distribuzione della proprietà è fondamentale per un programma di gestione delle vulnerabilità efficace e scalabile.

Questa guida illustra come semplificare l'identificazione e la correzione delle vulnerabilità al fine di ridurre il rischio complessivo. Utilizza le seguenti sezioni per sviluppare e perfezionare il tuo programma di gestione delle vulnerabilità:

  1. Preparazione: prepara il personale, i processi e la tecnologia per identificare, valutare e correggere le vulnerabilità nel tuo ambiente.

  2. Valutazione e correzione: inoltra i risultati di sicurezza alle parti interessate, identifica l'azione correttiva appropriata e quindi intraprendi l'azione correttiva.

  3. Segnala e migliora: utilizza i meccanismi di segnalazione per identificare le opportunità di miglioramento, quindi implementa il tuo programma di gestione delle vulnerabilità.

La creazione di un programma di gestione delle vulnerabilità nel cloud spesso implica un'iterazione. Dai priorità ai consigli contenuti in questa guida e rivedi regolarmente il tuo backlog per rimanere aggiornato sui cambiamenti tecnologici e sui requisiti aziendali.

Destinatari principali

Questa guida è destinata alle grandi aziende che hanno tre team principali responsabili dei risultati relativi alla sicurezza: un team di sicurezza, un Cloud Center of Excellence (CCoE) o team cloud e i team delle applicazioni (o degli sviluppatori). Questa guida utilizza i modelli operativi aziendali più comuni e si basa su tali modelli operativi per consentire una risposta più efficiente ai risultati di sicurezza e migliorare i risultati in materia di sicurezza. Le organizzazioni che utilizzano AWS potrebbero avere strutture e modelli operativi diversi; tuttavia, è possibile modificare molti dei concetti di questa guida per adattarli a modelli operativi diversi e organizzazioni più piccole.

Obiettivi

Questa guida può aiutare te e la tua organizzazione a:

  • Sviluppa politiche per semplificare la gestione delle vulnerabilità e garantire la responsabilità

  • Stabilisci meccanismi per distribuire la responsabilità della sicurezza ai team applicativi

  • Configura in modo pertinente AWS servizi secondo le migliori pratiche per una gestione scalabile delle vulnerabilità

  • Distribuisci la proprietà dei risultati di sicurezza

  • Stabilisci meccanismi per segnalare e iterare il tuo programma di gestione delle vulnerabilità

  • Migliora la visibilità dei risultati di sicurezza e migliora il livello di sicurezza generale