Construindo um programa escalável de gerenciamento de vulnerabilidades em AWS - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Construindo um programa escalável de gerenciamento de vulnerabilidades em AWS

Anna McAbee e Megan O'Neil, Amazon Web Services ()AWS

Outubro de 2023 (histórico do documento)

Dependendo da tecnologia subjacente que você está usando, uma variedade de ferramentas e verificações podem gerar descobertas de segurança em um ambiente de nuvem. Sem processos implementados para lidar com essas descobertas, elas podem começar a se acumular, muitas vezes levando a milhares a dezenas de milhares de descobertas em um curto espaço de tempo. No entanto, com um programa estruturado de gerenciamento de vulnerabilidades e a operacionalização adequada de suas ferramentas, sua organização pode lidar e fazer a triagem de um grande número de descobertas de diversas fontes.

O gerenciamento de vulnerabilidades se concentra em descobrir, priorizar, avaliar, remediar e relatar vulnerabilidades. O gerenciamento de patches, por outro lado, se concentra em corrigir ou atualizar o software para remover ou remediar vulnerabilidades de segurança. O gerenciamento de patches é apenas um aspecto do gerenciamento de vulnerabilidades. Geralmente, recomendamos estabelecer um patch-in-place processo (também conhecido como mitigate-in-placeprocesso) para lidar com cenários críticos, que já estão corretos, e um processo padrão que você execute regularmente para liberar Amazon Machine Images (AMIs), contêineres ou pacotes de software corrigidos. Esses processos ajudam a preparar sua organização para responder rapidamente a uma vulnerabilidade de dia zero. Para sistemas críticos em um ambiente de produção, usar um patch-in-place processo pode ser mais rápido e confiável do que implantar uma nova AMI em toda a frota. Para patches programados regularmente, como patches de sistema operacional (SO) e software, recomendamos que você crie e teste usando processos de desenvolvimento padrão, como faria com qualquer alteração no nível do software. Isso proporciona melhor estabilidade para os modos operacionais padrão. Você pode usar o Patch Manager, um recurso ou outros produtos de terceiros como patch-in-place soluções. AWS Systems Manager Para obter mais informações sobre como usar o Patch Manager, consulte Gerenciamento de patches no AWS Cloud Adoption Framework: Operations Perspective. Além disso, você pode usar o EC2 Image Builder para automatizar a criação, o gerenciamento e a implantação de imagens personalizadas up-to-date e de servidor.

A criação de um programa escalável de gerenciamento de vulnerabilidades AWS envolve o gerenciamento de vulnerabilidades tradicionais de software e rede, além dos riscos de configuração da nuvem. Um risco de configuração na nuvem, como um bucket não criptografado do Amazon Simple Storage Service (Amazon S3), deve seguir um processo de triagem e remediação semelhante ao de uma vulnerabilidade de software. Em ambos os casos, a equipe de aplicativos deve possuir e ser responsável pela segurança de seu aplicativo, incluindo a infraestrutura subjacente. Essa distribuição de propriedade é fundamental para um programa de gerenciamento de vulnerabilidades eficaz e escalável.

Este guia discute como simplificar a identificação e a correção de vulnerabilidades para reduzir o risco geral. Use as seções a seguir para criar e iterar seu programa de gerenciamento de vulnerabilidades:

  1. Prepare-se — prepare seu pessoal, seus processos e sua tecnologia para identificar, avaliar e corrigir vulnerabilidades em seu ambiente.

  2. Triagem e correção — encaminhe as descobertas de segurança para as partes interessadas relevantes, identifique a ação de remediação apropriada e, em seguida, execute a ação de remediação.

  3. Relate e melhore — Use mecanismos de geração de relatórios para identificar oportunidades de melhoria e, em seguida, repita seu programa de gerenciamento de vulnerabilidades.

A criação de um programa de gerenciamento de vulnerabilidades na nuvem geralmente envolve iteração. Priorize as recomendações deste guia e revise regularmente sua lista de pendências para se manter atualizado com as mudanças tecnológicas e os requisitos de seus negócios.

Público-alvo

Este guia é destinado a grandes empresas que têm três equipes principais responsáveis pelas descobertas relacionadas à segurança: uma equipe de segurança, uma equipe do Cloud Center of Excellence (CCoE) ou equipe de nuvem e equipes de aplicativos (ou desenvolvedores). Este guia usa os modelos operacionais corporativos mais comuns e se baseia nesses modelos operacionais para permitir uma resposta mais eficiente às descobertas de segurança e melhorar os resultados de segurança. As organizações que usam AWS podem ter estruturas e modelos operacionais diferentes; no entanto, você pode modificar muitos dos conceitos deste guia para se adequar a diferentes modelos operacionais e organizações menores.

Objetivos

Este guia pode ajudar você e sua organização a:

  • Desenvolva políticas para simplificar o gerenciamento de vulnerabilidades e garantir a responsabilidade

  • Estabeleça mecanismos para distribuir a responsabilidade pela segurança às equipes de aplicativos

  • Configure as informações relevantes de Serviços da AWS acordo com as melhores práticas para gerenciamento escalável de vulnerabilidades

  • Distribua a propriedade das descobertas de segurança

  • Estabeleça mecanismos para relatar e iterar seu programa de gerenciamento de vulnerabilidades

  • Melhore a visibilidade das descobertas de segurança e melhore a postura geral de segurança