Creación de un programa de gestión de vulnerabilidades escalable en AWS - AWS Guía prescriptiva
Destinatarios previstosObjetivos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un programa de gestión de vulnerabilidades escalable en AWS

Anna McAbee y Megan O'Neil, Amazon Web Services ()AWS

Octubre de 2023 (historial del documento)

Según la tecnología subyacente que utilice, una variedad de herramientas y análisis pueden generar resultados de seguridad en un entorno en la nube. Si no se implementan procesos para gestionar estos resultados, pueden empezar a acumularse y, a menudo, dar lugar a miles o decenas de miles de resultados en un breve periodo de tiempo. Sin embargo, con un programa estructurado de administración de vulnerabilidades y una operacionalización adecuada de las herramientas, su organización puede gestionar y clasificar una gran cantidad de resultados de diversos orígenes.

La administración de vulnerabilidades se centra en descubrir, priorizar, evaluar, corregir y notificar las vulnerabilidades. La administración de revisiones, por otro lado, se centra en aplicar revisiones en el software o actualizarlo para eliminar o corregir las vulnerabilidades de seguridad. La administración de revisiones es solo un aspecto de la administración de vulnerabilidades. Por lo general, se recomienda establecer un patch-in-place proceso (también conocido como mitigate-in-placeproceso) para abordar situaciones críticas en las que se debe aplicar el parche ahora, y un proceso estándar que ejecute de forma regular para lanzar Amazon Machine Images (AMIs), contenedores o paquetes de software parcheados. Estos procesos ayudan a preparar a su organización para responder rápidamente a una vulnerabilidad de día cero. Para los sistemas críticos de un entorno de producción, utilizar un patch-in-place proceso puede ser más rápido y fiable que implementar una nueva AMI en toda la flota. En el caso de las revisiones programadas con regularidad, como las revisiones del sistema operativo (SO) y del software, le recomendamos que las cree y pruebe mediante procesos de desarrollo estándar, como haría con cualquier cambio de nivel de software. Esto proporciona una mayor estabilidad para los modos de funcionamiento estándar. Puede utilizar Patch Manager, una funcionalidad u otros productos de terceros como patch-in-place soluciones. AWS Systems Manager Para obtener más información sobre el uso del Administrador de parches, consulte Patch management en AWS Cloud Adoption Framework: Operations Perspective. Además, puede utilizar EC2 Image Builder para automatizar la creación, la administración y el despliegue de imágenes personalizadas up-to-date y de servidor.

La creación de un programa de gestión de vulnerabilidades escalable AWS implica gestionar las vulnerabilidades tradicionales de software y red, además de los riesgos de configuración de la nube. Un riesgo de configuración de la nube, como un bucket de Amazon Simple Storage Service (Amazon S3) sin cifrar, debería seguir un proceso de clasificación y corrección similar al de una vulnerabilidad de software. En ambos casos, el equipo de aplicaciones debe ser el propietario y responsable de la seguridad de la aplicación, incluida la infraestructura subyacente. Esta distribución de la propiedad es clave para un programa de administración de vulnerabilidades eficaz y escalable.

En esta guía se explica cómo agilizar la identificación y la corrección de las vulnerabilidades para reducir el riesgo general. Utilice las siguientes secciones para crear su programa de administración de vulnerabilidades e iterar en él:

  1. Preparación: prepare a su personal, los procesos y la tecnología para identificar, evaluar y corregir las vulnerabilidades de su entorno.

  2. Clasificación y corrección: remita los resultados de seguridad a las partes interesadas pertinentes, identifique la medida correctiva adecuada y, a continuación, tome dicha medida.

  3. Notificación y mejora: utilice los mecanismos de notificación para identificar las oportunidades de mejora y, a continuación, itere en su programa de administración de vulnerabilidades.

La creación de un programa de administración de vulnerabilidades en la nube suele implicar iteraciones. Dé prioridad a las recomendaciones de esta guía y revisite periódicamente sus tareas pendientes para mantenerse al día con los cambios tecnológicos y los requisitos de su empresa.

Destinatarios previstos

Esta guía está destinada a grandes empresas que cuentan con tres equipos principales responsables de los hallazgos relacionados con la seguridad: un equipo de seguridad, un centro de excelencia (CCoE) o equipo de nube y equipos de aplicaciones (o desarrolladores). En esta guía se utilizan los modelos operativos empresariales más comunes y se basa en esos modelos operativos para permitir una respuesta más eficiente ante los resultados de seguridad y mejorar los resultados de seguridad. Las organizaciones que lo utilizan AWS pueden tener estructuras y modelos operativos diferentes; sin embargo, puede modificar muchos de los conceptos de esta guía para adaptarlos a diferentes modelos operativos y organizaciones más pequeñas.

Objetivos

Esta guía puede ayudarlos a usted y a su organización a lo siguiente:

  • Desarrollar políticas para agilizar la administración de vulnerabilidades y garantizar la responsabilidad.

  • Establecer mecanismos para distribuir la responsabilidad en materia de seguridad entre los equipos de aplicaciones.

  • Configure Servicios de AWS según las mejores prácticas para una gestión escalable de vulnerabilidades

  • Distribuir la propiedad de los resultados de seguridad.

  • Establecer mecanismos para notificar el programa de administración de vulnerabilidades e iterar en él.

  • Mejorar la visibilidad de los resultados de seguridad y mejorar la postura general de seguridad.