SEC06-BP01 執行漏洞管理 - AWS 建構良好的架構
實作指引資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SEC06-BP01 執行漏洞管理

經常掃描和修補程式碼、相依性和基礎設施中的漏洞,以協助防禦新的威脅。

預期成果:建立和維護漏洞管理計畫。定期掃描和修補資源,例如 Amazon EC2執行個體、Amazon Elastic Container Service (AmazonECS) 容器和 Amazon Elastic Kubernetes Service (AmazonEKS) 工作負載。設定 AWS 受管資源的維護時段,例如 Amazon Relational Database Service (Amazon RDS) 資料庫。使用靜態程式碼掃描來檢查應用程式原始程式碼的常見問題。如果您的組織具有必備技能或是可以雇用外部協助,請考慮 Web 應用程式滲透測試。

常見的反模式:

  • 沒有漏洞管理計畫。

  • 執行系統修補而不考慮嚴重性或避免風險。

  • 使用已超過廠商提供之生命週期結束 (EOL) 日期的軟體。

  • 在分析程式碼的安全問題之前將其部署至生產環境。

未建立此最佳實務時的曝險等級:

實作指引

漏洞管理計畫包括安全評定、識別問題、排定優先順序,以及執行修補作業做為解決問題的一部分。持續掃描工作負載,以發現問題和意外網路暴露並執行修正,自動化是關鍵。自動建立和更新資源可節省時間並降低組態錯誤造成進一步問題的風險。設計良好的漏洞管理計畫也應該考慮在軟體生命週期的開發和部署階段進行漏洞測試。在開發和部署期間實作漏洞管理有助於降低漏洞能夠滲入生產環境的可能性。

實作漏洞管理計畫需要對 AWS 共同責任模式有良好的了解,以及它如何與特定工作負載相關。在 共同責任模型下, AWS 負責保護 的基礎設施 AWS 雲端。此基礎設施由執行 AWS 雲端 服務的硬體、軟體、聯網和設施組成。您要負責雲端的安全,例如 Amazon EC2執行個體的實際資料、安全組態和管理任務,並驗證您的 Amazon S3 物件是否已正確分類和設定。您著手漏洞管理的方法也可能視取用的服務而異。例如, AWS 管理我們受管關聯式資料庫服務的修補,Amazon RDS,但您將負責修補自我託管資料庫。

AWS 具有一系列服務,可協助您管理漏洞。Amazon Inspector 會持續掃描 AWS 工作負載是否有軟體問題和非預期的網路存取。AWS Systems Manager Patch Manager 可協助管理 Amazon EC2執行個體的修補。Amazon Inspector 和 Systems Manager 可以在 中檢視AWS Security Hub,這是雲端安全狀態管理服務,可協助自動化 AWS 安全檢查並集中安全提醒。

Amazon CodeGuru 可以使用靜態程式碼分析,協助識別 Java 和 Python 應用程式中的潛在問題。

實作步驟

  • 設定 Amazon InspectorAmazon Inspector 會自動偵測新啟動的 Amazon EC2執行個體、Lambda 函數和推送至 Amazon 的合格容器映像,ECR並立即掃描是否有軟體問題、潛在瑕疵和非預期的網路暴露。

  • 掃描原始碼:掃描程式庫和相依性的問題和瑕疵。Amazon CodeGuru 可以掃描並提供建議,以修復 Java 和 Python 應用程式的常見安全問題OWASP 基金會發佈來源程式碼分析工具的清單 (也稱為SAST工具)。

  • 實作機制以掃描和修補現有環境,並將掃描實作為 CI/CD 管道建置過程的一部分:實作機制來掃描和修補相依性和作業系統中的問題,以協助抵禦新威脅。定期執行該機制。了解您需要在何處套用修補或解決軟體問題,軟體漏洞管理必不可少。透過儘早將漏洞評定嵌入持續整合/持續交付 (CI/CD) 管道,優先修正潛在的安全問題。您的方法可能會根據您所使用的 AWS 服務而有所不同。若要檢查在 Amazon EC2執行個體中執行之軟體中是否有潛在問題,請將 Amazon Inspector 新增至您的管道,以便在偵測到問題或潛在瑕疵時提醒您並停止建置程序。Amazon Inspector 會持續監控資源。您也可以使用開放原始碼產品,例如 OWASP Dependency-Check Snyk Open VAS、套件管理員和 AWS Partner 工具進行漏洞管理。

  • 使用 AWS Systems Manager您必須負責 AWS 資源的修補程式管理,包括 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Machine Images (AMIs) 和其他運算資源。AWS Systems Manager Patch Manager 以安全相關和其他類型的更新自動化以修補受管執行個體。Patch Manager 可用於在 Amazon EC2執行個體上為作業系統和應用程式套用修補程式,包括 Microsoft 應用程式、Windows 服務套件,以及 Linux 型執行個體的次要版本升級。除了 Amazon 之外EC2,Patch Manager 也可用於修補內部部署伺服器。

    如需支援的作業系統清單,請參閱《Systems Manager 使用者指南》中的受支援作業系統。您可以掃描執行個體,僅查看遺漏的修補程式報告,或者掃描並自動安裝所有遺漏的修補程式。

  • 使用 AWS Security HubSecurity Hub 提供 中安全狀態的全面檢視 AWS。它收集跨多個 AWS 服務的安全資料,並以標準化格式提供這些調查結果,允許您優先處理跨 AWS 服務的安全調查結果。

  • 使用 AWS CloudFormationAWS CloudFormation 是基礎設施即程式碼 (IaC) 服務,可透過在多個帳戶和環境間自動化資源部署和標準化資源架構,來協助漏洞管理。

資源

相關文件:

相關影片: