SEC06-BP01 Schwachstellenmanagement - AWS Well-Architected Framework
ImplementierungsleitfadenRessourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SEC06-BP01 Schwachstellenmanagement

Überprüfen und Patchen Sie Ihren Code, Ihre Abhängigkeiten und Ihre Infrastruktur häufig auf Schwachstellen, um sich vor neuen Bedrohungen zu schützen.

Gewünschtes Ergebnis: Sie verfügen über eine Lösung, die Ihren Workload kontinuierlich auf Software-Schwachstellen, potenzielle Fehler und unbeabsichtigte Netzwerkrisiken überprüft. Sie haben Prozesse und Verfahren eingerichtet, um diese Schwachstellen basierend auf Risikobewertungskriterien zu identifizieren, zu priorisieren und zu beheben. Darüber hinaus haben Sie eine automatisierte Patch-Verwaltung für Ihre Datenverarbeitungs-Instances implementiert. Ihr Programm für das Schwachstellenmanagement ist in Ihren Softwareentwicklungszyklus integriert und bietet Lösungen zum Scannen Ihres Quellcodes in der CI/CD-Pipeline.

Typische Anti-Muster:

  • Fehlen eines Programms für das Schwachstellenmanagement

  • Durchführung von System-Patches ohne Berücksichtigung des Schweregrads oder der Risikovermeidung

  • Verwendung von Software nach dem vom Anbieter angegebenen Lebenszyklusenddatum

  • Bereitstellung von Code für die Produktion, bevor dieser auf Sicherheitsprobleme untersucht wurde

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Das Schwachstellenmanagement ist ein wichtiger Aspekt bei der Aufrechterhaltung einer sicheren und robusten Cloud-Umgebung. Es umfasst einen umfassenden Prozess, der Sicherheitsscans, die Identifizierung und Priorisierung von Problemen sowie Patch-Operationen zur Behebung der identifizierten Schwachstellen umfasst. Die Automatisierung spielt in diesem Prozess eine zentrale Rolle, da sie das kontinuierliche Scannen von Workloads auf potenzielle Probleme und unbeabsichtigte Netzwerkrisiken sowie die Durchführung von Abhilfemaßnahmen ermöglicht.

Das AWS-Modell der gemeinsamen Verantwortung ist ein Basiskonzept, das dem Schwachstellenmanagement zugrunde liegt. Gemäß diesem Modell ist AWS für die Sicherung der zugrunde liegenden Infrastruktur verantwortlich, einschließlich Hardware, Software, Netzwerk und der Einrichtungen, in denen AWS-Services ausgeführt werden. Umgekehrt sind Sie für die Sicherung Ihrer Daten, die Sicherheitskonfigurationen und die Verwaltungsaufgaben im Zusammenhang mit Services wie Amazon-EC2-Instances und Amazon-S3-Objekten verantwortlich.

AWS bietet verschiedene Services zur Unterstützung von Programmen für das Schwachstellenmanagement an. Amazon Inspector scannt AWS-Workloads kontinuierlich auf Software-Schwachstellen und unbeabsichtigte Netzwerkzugriffe, während AWS Systems Manager Patch Manager die Verwaltung von Patches für Amazon-EC2-Instances unterstützt. Diese Services können mit AWS Security Hub integriert werden, einem Service für das Management der Cloud-Sicherheit. Dieser Service automatisiert AWS-Sicherheitsprüfungen, zentralisiert Sicherheitswarnungen und stellt eine umfassende Übersicht über die Sicherheitslage einer Organisation bereit. Darüber hinaus verwendet Amazon CodeGuru Security Analysen des statischen Codes, um während der Entwicklungsphase potenzielle Probleme in Java- und Python-Anwendungen zu erkennen.

Durch die Integration von Verfahren für das Schwachstellenmanagement in den Software-Entwicklungszyklus können Sie Schwachstellen proaktiv beseitigen, bevor sie in Produktionsumgebungen eingeführt werden. Dies reduziert das Risiko von Sicherheitsvorfällen und die potenziellen Auswirkungen von Schwachstellen.

Implementierungsschritte

  1. Machen Sie sich mit dem Modell der geteilten Verantwortung vertraut: Informieren Sie sich über das AWS-Modell der geteilten Verantwortung, um Ihre Verantwortung für die Sicherung Ihrer Workloads und Daten in der Cloud zu verstehen. AWS ist für die Sicherheit der zugrunde liegenden Cloud-Infrastruktur verantwortlich, während Sie für die Sicherheit Ihrer Anwendungen und Daten sowie der genutzten Services zuständig sind.

  2. Implementieren Sie Schwachstellenscans: Konfigurieren Sie einen Service für das Scannen von Schwachstellen, z. B. Amazon Inspector, um Ihre Datenverarbeitungs-Instances (z. B. virtuelle Maschinen, Container oder Serverless-Funktionen) automatisch auf Software-Schwachstellen, potenzielle Fehler und unbeabsichtigte Netzwerkrisiken zu scannen.

  3. Richten Sie Prozesse für das Schwachstellenmanagement ein: Definieren Sie Prozesse und Verfahren für die Identifizierung, Priorisierung und Behebung von Schwachstellen. Dies kann die Einrichtung von Zeitplänen für das regelmäßige Scannen auf Schwachstellen, die Festlegung von Kriterien für die Risikobewertung und die Definition von Zeitplänen für die Behebung basierend auf dem Schweregrad der Schwachstelle umfassen.

  4. Richten Sie eine Patch–Verwaltung ein: Verwenden Sie einen Service für die Verwaltung von Patches, um das Patchen Ihrer Datenverarbeitungs-Instances zu automatisieren, sowohl für Betriebssysteme als auch für Anwendungen. Sie können den Service für das Scannen von Instances auf fehlende Patches und das automatische Installieren von Patches nach Zeitplan konfigurieren. Ziehen Sie AWS Systems Manager Patch Manager in Betracht, um diese Funktionalität bereitzustellen.

  5. Konfigurieren Sie einen Malware-Schutz: Implementieren Sie Mechanismen für die Erkennung bösartiger Software in Ihrer Umgebung. Sie können beispielsweise Tools wie Amazon GuardDuty verwenden, um EC2- und EBS-Volumes hinsichtlich Malware zu analysieren, Malware zu erkennen und vor Malware zu warnen. GuardDuty kann auch neu zu Amazon S3 hochgeladene Objekte auf potenzielle Malware oder Viren scannen und Maßnahmen ergreifen, um sie vor der Aufnahme in nachgelagerte Prozesse zu isolieren.

  6. Integrieren Sie Schwachstellen-Scans in CI/CD-Pipelines: Wenn Sie eine CI/CD-Pipeline für Ihre Anwendungsbereitstellung verwenden, sollten Sie Tools zum Scannen auf Schwachstellen in Ihre Pipeline integrieren. Tools wie Amazon CodeGuru Security und Open-Source-Optionen können Quellcode, Abhängigkeiten und Artefakte auf potenzielle Sicherheitsprobleme scannen.

  7. Konfigurieren Sie einen Service für die Überwachung der Sicherheit: Richten Sie einen Service für die Überwachung der Sicherheit ein, z. B. AWS Security Hub, um einen umfassenden Überblick über Ihren Sicherheitsstatus über verschiedene Cloud-Services hinweg zu erhalten. Der Service sollte Erkenntnisse zur Sicherheit aus verschiedenen Quellen sammeln und in einem standardisierten Format anzeigen, um die Priorisierung und Behebung zu vereinfachen.

  8. Implementieren Sie Penetrationstests für Webanwendungen: Wenn es sich bei Ihrer Anwendung um eine Webanwendung handelt und Ihre Organisation über die erforderlichen Kompetenzen verfügt oder externe Unterstützung erhalten kann, sollten Sie die Implementierung von Penetrationstests für Webanwendungen in Betracht ziehen, um potenzielle Schwachstellen in Ihrer Anwendung zu identifizieren.

  9. Automatisieren Sie mit „Infrastructur as Code“: Verwenden Sie Infrastructure as Code (IAC)-Tools, z. B. AWS CloudFormation, um die Bereitstellung und Konfiguration Ihrer Ressourcen zu automatisieren, einschließlich der zuvor genannten Sicherheitsservices. Dieses Verfahren hilft, eine konsistentere und standardisierte Ressourcenarchitektur für mehrere Konten und Umgebungen zu erstellen.

  10. Führen Sie Überwachungen durch und nehmen Sie kontinuierliche Verbesserungen vor: Überwachen Sie kontinuierlich die Effektivität Ihres Programms für das Schwachstellenmanagement und verbessern Sie es nach Bedarf. Überprüfen Sie die Sicherheitserkenntnisse, bewerten Sie die Effektivität Ihrer Abhilfemaßnahmen und passen Sie Ihre Prozesse und Tools entsprechend an.

Ressourcen

Zugehörige Dokumente:

Zugehörige Videos: