에 확장 가능한 취약성 관리 프로그램 구축 AWS - AWS 규범적 지침
수강 대상목표

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 확장 가능한 취약성 관리 프로그램 구축 AWS

McAbee 애나와 메간 오닐, Amazon Web Services ()AWS

2023년 10월 (문서 기록)

사용 중인 기반 기술에 따라 다양한 도구와 스캔을 통해 클라우드 환경에서 보안 결과를 생성할 수 있습니다. 이러한 결과를 처리할 프로세스를 마련하지 않으면 검색 결과가 누적되기 시작하여 짧은 시간 내에 수천 개에서 수만 개의 검색 결과를 도출하는 경우가 많습니다. 그러나 구조화된 취약성 관리 프로그램과 적절한 도구 운용을 통해 조직은 다양한 출처의 수많은 결과를 처리하고 분류할 수 있습니다.

취약성 관리는 취약성을 발견하고, 우선순위를 정하고, 평가하고, 수정하고, 보고하는 데 중점을 둡니다. 반면 패치 관리는 보안 취약성을 제거하거나 개선하기 위한 소프트웨어 패치 또는 업데이트에 중점을 둡니다. 패치 관리는 취약성 관리의 한 측면일 뿐입니다. 일반적으로 중요한 패치 적용 시나리오를 patch-in-place 처리하는 프로세스 (mitigate-in-place프로세스라고도 함) 와 패치가 적용된 Amazon Machine Images (AMI), 컨테이너 또는 소프트웨어 패키지를 릴리스하기 위해 정기적으로 실행하는 표준 프로세스를 모두 설정하는 것이 좋습니다. 이러한 프로세스는 조직이 제로데이 취약성에 신속하게 대응할 수 있도록 준비하는 데 도움이 됩니다. 프로덕션 환경의 중요 시스템의 경우 전체 플릿 전체에 새 AMI를 배포하는 것보다 patch-in-place 프로세스를 사용하는 것이 더 빠르고 안정적일 수 있습니다. 운영 체제 (OS) 및 소프트웨어 패치와 같이 정기적으로 예정된 패치의 경우 소프트웨어 수준 변경과 마찬가지로 표준 개발 프로세스를 사용하여 빌드하고 테스트하는 것이 좋습니다. 이렇게 하면 표준 운영 모드의 안정성이 향상됩니다. Patch Manager AWS Systems Manager, 의 기능 또는 기타 타사 제품을 patch-in-place 솔루션으로 사용할 수 있습니다. Patch Manager 사용에 대한 자세한 내용은 AWS 클라우드 채택 프레임워크의 패치 관리: 운영 관점을 참조하십시오. 또한 EC2 Image Builder를 사용하여 사용자 지정 up-to-date 및 서버 이미지의 생성, 관리 및 배포를 자동화할 수 있습니다.

확장 가능한 취약성 관리 프로그램을 AWS 구축하려면 클라우드 구성 위험 외에도 기존 소프트웨어 및 네트워크 취약성을 관리해야 합니다. 암호화되지 않은 Amazon Simple Storage Service (Amazon S3) 버킷과 같은 클라우드 구성 위험도 소프트웨어 취약성과 유사한 분류 및 수정 프로세스를 따라야 합니다. 이 두 경우 모두 애플리케이션 팀이 기본 인프라를 포함한 애플리케이션의 보안을 소유하고 이에 대한 책임을 져야 합니다. 이러한 소유권 분배는 효과적이고 확장 가능한 취약성 관리 프로그램의 핵심입니다.

이 가이드에서는 전반적인 위험을 줄이기 위해 취약성 식별 및 해결을 간소화하는 방법을 설명합니다. 다음 섹션을 사용하여 취약성 관리 프로그램을 구축하고 반복해 보십시오.

  1. 준비 — 사용자 환경의 취약성을 식별, 평가 및 해결할 수 있도록 인력, 프로세스 및 기술을 준비하십시오.

  2. 분류 및 해결 — 보안 결과를 관련 이해 관계자에게 전달하고 적절한 해결 조치를 식별한 다음 수정 조치를 취합니다.

  3. 보고 및 개선 — 보고 메커니즘을 사용하여 개선 기회를 식별한 다음 취약성 관리 프로그램을 반복적으로 적용하십시오.

클라우드 취약성 관리 프로그램을 구축하려면 종종 반복이 필요합니다. 이 가이드에서 권장사항의 우선 순위를 정하고 백로그를 정기적으로 다시 검토하여 기술 변경 사항과 비즈니스 요구 사항을 최신 상태로 유지하세요.

수강 대상

이 가이드는 보안 관련 결과를 담당하는 세 개의 주요 팀, 즉 보안 팀, Cloud Center of Excellence (CCoE) 또는 클라우드 팀, 애플리케이션 (또는 개발자) 팀으로 구성된 대기업을 대상으로 합니다. 이 가이드에서는 가장 일반적인 엔터프라이즈 운영 모델을 사용하고 이러한 운영 모델을 기반으로 하여 보안 결과에 보다 효율적으로 대응하고 보안 결과를 개선할 수 있도록 합니다. 를 사용하는 AWS 조직은 구조와 운영 모델이 다를 수 있지만 이 가이드의 많은 개념을 다양한 운영 모델 및 소규모 조직에 맞게 수정할 수 있습니다.

목표

이 가이드는 여러분과 조직에 도움이 될 수 있습니다.

  • 취약성 관리를 간소화하고 책임을 보장하기 위한 정책을 개발하십시오.

  • 보안 책임을 애플리케이션 팀에 배분하는 메커니즘을 수립하십시오.

  • 확장 가능한 취약성 관리를 위해 모범 사례에 AWS 서비스 따라 적절하게 구성하십시오.

  • 보안 조사 결과의 소유권 분배

  • 취약성 관리 프로그램을 보고하고 이를 반복할 수 있는 메커니즘을 수립하십시오.

  • 보안 검색 가시성을 높이고 전반적인 보안 태세를 개선하십시오.