SEC06-BP01 執行漏洞管理 - AWS Well-Architected 架構
實作指引資源

SEC06-BP01 執行漏洞管理

經常掃描和修補程式碼、相依性和基礎設施中的漏洞,以協助防禦新的威脅。

預期成果:建立和維護漏洞管理計畫。定期掃描和修補資源,例如 Amazon EC2 執行個體、Amazon Elastic Container Service (Amazon ECS) 容器和 Amazon Elastic Kubernetes Service (Amazon EKS) 工作負載。設定 AWS 受管資源的維護時段,例如 Amazon Relational Database Service (Amazon RDS) 資料庫。使用靜態程式碼掃描來檢查應用程式原始程式碼的常見問題。如果您的組織具有必備技能或是可以雇用外部協助,請考慮 Web 應用程式滲透測試。

常見的反模式:

  • 沒有漏洞管理計畫。

  • 執行系統修補而不考慮嚴重性或避免風險。

  • 使用已過廠商提供的結束生命週期日期的軟體。

  • 在分析程式碼的安全問題之前將其部署至生產環境。

建立此最佳實務的優勢:

未建立此最佳實務時的風險暴露等級:

實作指引

漏洞管理計畫包括安全評定、識別問題、排定優先順序,以及執行修補作業做為解決問題的一部分。持續掃描工作負載,以發現問題和意外網路暴露並執行修正,自動化是關鍵。自動建立和更新資源可節省時間並降低組態錯誤造成進一步問題的風險。設計良好的漏洞管理計畫也應該考慮在軟體生命週期的開發和部署階段進行漏洞測試。在開發和部署期間實作漏洞管理有助於降低漏洞能夠滲入生產環境的可能性。

實作漏洞管理計畫需要對 AWS 共同責任模式有良好的了解,以及它如何與特定工作負載相關。在共同責任模式下,AWS 負責保護 AWS 雲端 的基礎設施。此基礎設施是由硬體、軟體、網路以及執行 AWS 雲端 服務的設施所組成。您負責雲端中的安全,例如實際的資料、安全組態和 Amazon EC2 執行個體的管理工作,以及確認您的 Amazon S3 物件已適當分類和設定。您著手漏洞管理的方法也可能視取用的服務而異。例如,AWS 會管理修補我們受管的關聯式資料庫服務 Amazon RDS,但是您須負責修補自我託管的資料庫。

AWS 擁有可協助您漏洞管理計畫的各種服務。Amazon Inspector 會持續掃描 AWS 工作負載以發現軟體問題和意外的網路存取。AWS Systems Manager Patch Manager 可協助管理 Amazon EC2 執行個體間的修補工作。Amazon Inspector 和 Systems Manager 可供在 AWS Security Hub 中檢視,其是一項雲端安全狀態管理服務,可協助自動化 AWS 安全檢查並集中化安全警示。

Amazon CodeGuru 可協助使用靜態程式碼分析來識別 Java 和 Python 應用程式中的潛在問題。

實作步驟

  • 設定 Amazon InspectorAmazon Inspector 會自動偵測新啟動的 Amazon EC2 執行個體、Lambda 函數和推送到 Amazon ECR 的合格容器映像,並即刻掃描軟體以發現問題、潛在瑕疵和意外的網路暴露。

  • 掃描原始碼:掃描程式庫和相依性的問題和瑕疵。Amazon CodeGuru 可以掃描並提供建議來修正 Java 和 Python 應用程式的常見安全問題OWASP Foundation 發佈了一份原始程式碼分析工具 (也稱為 SAST 工具) 的清單。

  • 實作機制以掃描和修補現有環境,並將掃描實作為 CI/CD 管道建置過程的一部分:實作機制來掃描和修補相依性和作業系統中的問題,以協助抵禦新威脅。定期執行該機制。了解您需要在何處套用修補或解決軟體問題,軟體漏洞管理必不可少。透過儘早將漏洞評定嵌入持續整合/持續交付 (CI/CD) 管道,優先修正潛在的安全問題。您的方法可能視您取用的 AWS 服務而異。要檢查在 Amazon EC2 執行個體中執行的軟體的潛在問題,請將 Amazon Inspector 新增到您的管道,在偵測到問題或潛在瑕疵時通知您並停止建置程序。Amazon Inspector 會持續監控資源。您也可以使用開放原始碼產品,例如 OWASP Dependency-CheckSnykOpenVAS、封裝管理員和 AWS Partner 工具來進行漏洞管理。

  • 使用 AWS Systems Manager您負責對您的 AWS 資源進行修補程式管理,包括 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Machine Image (AMI) 和其他運算資源。AWS Systems Manager Patch Manager 可自動化透過安全相關及其他更新來修補受管執行個體的流程。您可以使用 Patch Manager 在 Amazon EC2 執行個體上針對作業系統和應用程式套用修補程式,包括 Microsoft 應用程式、Windows Service Pack 和 Linux 型執行個體的次要版本更新。除了 Amazon EC2 之外,Patch Manager 也可以用來修補內部部署伺服器。

    如需支援的作業系統清單,請參閱《Systems Manager 使用者指南》中的受支援作業系統。您可以掃描執行個體而只查看修補程式缺失報告,也可以掃描並自動安裝所有缺失的修補程式。

  • 使用 AWS Security HubSecurity Hub 為您在 AWS 中的安全狀態提供全方位檢視。它會收集多個 AWS 服務間的安全資料,並以標準格式提供該些發現結果,讓您能夠跨 AWS 服務排定安全發現結果的優先順序。

  • 使用 AWS CloudFormation‎:AWS CloudFormation 是基礎設施即程式碼 (IaC) 服務,可透過在多個帳戶和環境間自動化資源部署和標準化資源架構,來協助漏洞管理。

資源

相關文件:

相關影片: