本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建置可擴充的弱點管理程式 AWS
安娜 McAbee 和梅根·奧尼爾,Amazon Web Services()AWS
2023 年十月 (文件歷史記錄)
根據您使用的基礎技術,各種工具和掃描可以在雲端環境中產生安全性發現結果。如果沒有處理這些發現的流程,它們就可以開始累積,通常會在短時間內導致數千到數萬個發現結果。不過,透過結構化的弱點管理方案,以及適當的工具運作,您的組織可以處理並分類來自不同來源的大量發現項目。
弱點管理著重於探索、排定優先順序、評估、補救和報告弱點。另一方面,修補程式管理著重於修補或更新軟體,以移除或修復安全性弱點。修補程式管理只是弱點管理的其中一個層面。一般而言,我們建議同時建立一個patch-in-place 程序 (也稱為mitigate-in-place程序) 來解決重要的、立即修補的案例,以及定期執行的標準程序,以便發行修補的 Amazon Machine Image (AMI)、容器或軟體套件。這些程序可協助您的組織做好快速回應零時差弱點的準備。對於生產環境中的關鍵系統而言,使用 patch-in-place 流程可以比在整個叢集中推出新的 AMI 更快、更可靠。對於定期排程的修補程式,例如作業系統 (OS) 和軟體修補程式,我們建議您使用標準開發程序進行建置和測試,就像進行任何軟體層級變更一樣。這為標準操作模式提供了更好的穩定性。您可以使用修補程式管理員、功能或其他協力廠商產品做為 patch-in-place 解決方案。 AWS Systems Manager如需使用修補程式管理員的詳細資訊,請參閱AWS 雲端採用架構:作業觀點中的修補程式管理 此外,您可以使用 EC2 Image Builder 自動化自訂和 up-to-date 伺服器映像的建立、管理和部署。
建置可擴充的弱點管理程式,除了雲端設定風險外,還 AWS 包括管理傳統軟體和網路弱點。雲端組態風險 (例如未加密的 Amazon Simple Storage Service (Amazon S3) 儲存貯體,應遵循與軟體弱點類似的分類和修復程序。在這兩種情況下,應用程序團隊必須擁有其應用程序的安全性,包括基礎結構,並負責。這種擁有權分配是有效且可擴充的弱點管理計畫的關鍵。
本指南討論如何簡化弱點的識別和修復,以降低整體風險。您可以使用下列各節來建置弱點管理程式並反覆運算:
建立雲端弱點管理程式通常需要反覆運算。排定本指南中的建議優先順序,並定期重新審視您的待處理項目,以隨時掌握技術變更和您的業務需求。
目標對象
本指南適用於擁有三個主要團隊負責安全性相關調查結果的大型企業:安全團隊、Cloud Center of Excellence (CCoE) 或雲端團隊,以及應用程式 (或開發人員) 團隊。本指南使用最常見的企業營運模式,並以這些作業模式為基礎,以便更有效率地回應安全發現結果並改善安全性結果。使用的 Organizations 可 AWS 能具有不同的結構和不同的操作模式;但是,您可以修改本指南中的許多概念,以適應不同的營運模式和較小的組織。
目標
本指南可以幫助您和您的組織:
-
制定政策以簡化弱點管理並確保責任
-
建立機制,將安全責任分配給應用團隊
-
AWS 服務 根據可擴充弱點管理的最佳實務進行相關設定
-
分配安全發現項目的擁有
-
建立機制以報告和重複執行您的弱點管理程式
-
改善安全性尋找可見度並改善整體安全狀態
