Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de un programa de administración de vulnerabilidades escalable en AWS
Anna McAbee y Megan O'Neil, Amazon Web Services (AWS)
octubre de 2023(historial del documento)
Según la tecnología subyacente que utilice, una variedad de herramientas y análisis pueden generar resultados de seguridad en un entorno en la nube. Si no se implementan procesos para gestionar estos resultados, pueden empezar a acumularse y, a menudo, dar lugar a miles o decenas de miles de resultados en un breve periodo de tiempo. Sin embargo, con un programa estructurado de administración de vulnerabilidades y una operacionalización adecuada de las herramientas, su organización puede gestionar y clasificar una gran cantidad de resultados de diversos orígenes.
La administración de vulnerabilidades se centra en descubrir, priorizar, evaluar, corregir y notificar las vulnerabilidades. La administración de revisiones, por otro lado, se centra en aplicar revisiones en el software o actualizarlo para eliminar o corregir las vulnerabilidades de seguridad. La administración de revisiones es solo un aspecto de la administración de vulnerabilidades. Por lo general, se recomienda establecer un proceso de aplicación de revisiones in situ (también conocido como proceso de mitigación in situ) para abordar situaciones críticas en las que hay que aplicar una revisión de inmediato, y un proceso estándar que se ejecute de forma regular para lanzar Imágenes de máquina de Amazon (AMI), contenedores o paquetes de software revisados. Estos procesos ayudan a preparar a su organización para responder rápidamente a una vulnerabilidad de día cero. Para los sistemas críticos de un entorno de producción, utilizar un proceso de aplicación de revisiones in situ puede ser más rápido y fiable que implementar una nueva AMI en toda la flota. En el caso de las revisiones programadas con regularidad, como las revisiones del sistema operativo (SO) y del software, le recomendamos que las cree y pruebe mediante procesos de desarrollo estándar, como haría con cualquier cambio de nivel de software. Esto proporciona una mayor estabilidad para los modos de funcionamiento estándar. Puede utilizar el Administrador de parches, una capacidad de AWS Systems Manager u otros productos de terceros como soluciones de aplicación de revisiones in situ. Para obtener más información sobre el uso del Administrador de parches, consulte Patch management en AWS Cloud Adoption Framework: Operations Perspective. Además, puede usar el Generador de Imágenes de EC2 para automatizar la creación, administración e implementación de imágenes de servidor personalizadas y actualizadas.
La creación de un programa de administración de vulnerabilidades escalable en AWS implica administrar las vulnerabilidades tradicionales de software y red, además de los riesgos de configuración de la nube. Un riesgo de configuración de la nube, como un bucket de Amazon Simple Storage Service (Amazon S3) sin cifrar, debería seguir un proceso de clasificación y corrección similar al de una vulnerabilidad de software. En ambos casos, el equipo de aplicaciones debe ser el propietario y responsable de la seguridad de la aplicación, incluida la infraestructura subyacente. Esta distribución de la propiedad es clave para un programa de administración de vulnerabilidades eficaz y escalable.
En esta guía se explica cómo agilizar la identificación y la corrección de las vulnerabilidades para reducir el riesgo general. Utilice las siguientes secciones para crear su programa de administración de vulnerabilidades e iterar en él:
-
Preparación: prepare a su personal, los procesos y la tecnología para identificar, evaluar y corregir las vulnerabilidades de su entorno.
-
Clasificación y corrección: remita los resultados de seguridad a las partes interesadas pertinentes, identifique la medida correctiva adecuada y, a continuación, tome dicha medida.
-
Notificación y mejora: utilice los mecanismos de notificación para identificar las oportunidades de mejora y, a continuación, itere en su programa de administración de vulnerabilidades.
La creación de un programa de administración de vulnerabilidades en la nube suele implicar iteraciones. Dé prioridad a las recomendaciones de esta guía y revisite periódicamente sus tareas pendientes para mantenerse al día con los cambios tecnológicos y los requisitos de su empresa.
Destinatarios previstos
Esta guía está destinada a grandes empresas que tienen tres equipos principales responsables de los resultados relacionados con la seguridad: un equipo de seguridad, un Centro de excelencia en la nube (CCoE) o equipo de la nube y equipos de aplicaciones (o desarrolladores). En esta guía se utilizan los modelos operativos empresariales más comunes y se basa en esos modelos operativos para permitir una respuesta más eficiente ante los resultados de seguridad y mejorar los resultados de seguridad. Las organizaciones que utilizan AWS pueden tener estructuras y modelos operativos diferentes; sin embargo, puede modificar muchos de los conceptos de esta guía para adaptarlos a diferentes modelos operativos y organizaciones más pequeñas.
Objetivos
Esta guía puede ayudarlos a usted y a su organización a lo siguiente:
-
Desarrollar políticas para agilizar la administración de vulnerabilidades y garantizar la responsabilidad.
-
Establecer mecanismos para distribuir la responsabilidad en materia de seguridad entre los equipos de aplicaciones.
-
Configurar Servicios de AWS pertinentes según las prácticas recomendadas para la administración escalable de las vulnerabilidades.
-
Distribuir la propiedad de los resultados de seguridad.
-
Establecer mecanismos para notificar el programa de administración de vulnerabilidades e iterar en él.
-
Mejorar la visibilidad de los resultados de seguridad y mejorar la postura general de seguridad.
