SEC06-BP01 Melakukan manajemen kerentanan

Seringlah memindai dan melakukan patching kerentanan pada kode, dependensi, dan infrastruktur Anda untuk membantu mencegah ancaman baru.

Hasil yang diinginkan: Membuat dan memelihara program manajemen kerentanan: Memindai dan melakukan patch sumber daya secara rutin, seperti instans Amazon EC2, kontainer Amazon Elastic Container Service (Amazon ECS), dan beban kerja Amazon Elastic Kubernetes Service (Amazon EKS). Mengonfigurasi jendela pemeliharaan untuk sumber daya yang dikelola AWS, seperti basis data Amazon Relational Database Service (Amazon RDS). Menggunakan pemindaian kode statis untuk memeriksa kode sumber aplikasi untuk masalah umum. Pertimbangkan uji penetrasi aplikasi web jika organisasi Anda memiliki keterampilan yang diperlukan atau dapat menggunakan bantuan dari luar.

Antipola umum:

Tidak memiliki program manajemen kerentanan.
Menjalankan patching sistem tanpa mempertimbangkan tingkat keparahan atau penghindaran risiko.
Menggunakan perangkat lunak yang sudah lewat tanggal akhir masa pakai (EOL) dari vendor.
Melakukan deployment kode ke dalam produksi sebelum menganalisis masalah keamanan.

Manfaat menjalankan praktik terbaik ini:

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Program manajemen kerentanan mencakup penilaian keamanan, mengidentifikasi masalah, memprioritaskan, dan menjalankan operasi patch sebagai bagian dari penyelesaian masalah. Otomatisasi adalah kunci agar dapat terus memindai beban kerja untuk menemukan masalah dan paparan jaringan yang tidak diinginkan serta melakukan perbaikan. Mengotomatiskan pembuatan dan pembaruan sumber daya menghemat waktu dan mengurangi risiko kesalahan konfigurasi yang menciptakan masalah lebih lanjut. Program manajemen kerentanan yang dirancang dengan baik juga harus mempertimbangkan pengujian kerentanan selama tahap pengembangan dan deployment siklus hidup perangkat lunak. Mengimplementasikan manajemen kerentanan selama pengembangan dan deployment membantu mengurangi kemungkinan kerentanan dapat masuk ke lingkungan produksi Anda.

Mengimplementasikan program manajemen kerentanan memerlukan pemahaman yang baik terkait Model Tanggung Jawab Bersama AWS dan bagaimana kaitannya dengan beban kerja tertentu. Dalam Model Tanggung Jawab Bersama, AWS bertanggung jawab untuk melindungi infrastruktur AWS Cloud. Infrastruktur ini terdiri dari perangkat keras, perangkat lunak, jaringan, dan fasilitas yang menjalankan layanan AWS Cloud. Anda bertanggung jawab atas keamanan di cloud, misalnya, data aktual, konfigurasi keamanan, dan tugas manajemen instans Amazon EC2, serta memastikan bahwa klasifikasi dan konfigurasi objek Amazon S3 Anda sudah tepat. Pendekatan terhadap manajemen kerentanan juga dapat bervariasi, bergantung pada layanan yang digunakan. Misalnya, AWS mengelola patching untuk layanan basis data relasional terkelola kami, Amazon RDS, tetapi Anda akan bertanggung jawab atas patching basis data yang di-hosting secara mandiri.

AWS memiliki berbagai layanan untuk membantu program manajemen kerentanan. Amazon Inspector terus memindai beban kerja AWS untuk menemukan masalah perangkat lunak dan akses jaringan yang tidak diinginkan. AWS Systems Manager Patch Manager membantu mengelola patching di seluruh instans Amazon EC2. Amazon Inspector dan Systems Manager dapat dilihat di AWS Security Hub CSPM, layanan manajemen postur keamanan cloud yang membantu mengotomatiskan pemeriksaan keamanan AWS dan memusatkan peringatan keamanan.

Amazon CodeGuru dapat membantu mengidentifikasi potensi masalah di aplikasi Java dan Python menggunakan analisis kode statis.

Langkah implementasi

Konfigurasikan Amazon Inspector: Amazon Inspector secara otomatis mendeteksi instans Amazon EC2 yang baru saja diluncurkan, fungsi Lambda, dan gambar kontainer yang dimasukkan ke Amazon ECR serta segera memindainya untuk menemukan masalah perangkat lunak, potensi kecacatan, dan paparan jaringan yang tidak diinginkan.
Pindai kode sumber: Pindai pustaka dan dependensi untuk menemukan masalah dan kecacatan. Amazon CodeGuru dapat memindai dan memberikan rekomendasi untuk memperbaiki masalah keamanan umum untuk aplikasi Java dan Python. OWASP Foundation menerbitkan daftar Alat Analisis Kode Sumber (juga disebut sebagai alat SAST).
Implementasikan mekanisme untuk memindai dan melakukan patching lingkungan yang ada, serta pemindaian sebagai bagian dari proses pembuatan jalur CI/CD: Implementasikan mekanisme untuk memindai dan melakukan patching masalah di dependensi dan sistem operasi untuk membantu melindungi dari ancaman baru. Jalankan mekanisme tersebut secara rutin. Penting untuk memahami manajemen kerentanan perangkat lunak saat Anda ingin menerapkan patch atau mengatasi masalah perangkat lunak. Prioritaskan perbaikan potensi masalah keamanan dengan menanamkan penilaian kerentanan lebih awal ke dalam jalur integrasi berkelanjutan/pengiriman berkelanjutan (CI/CD). Pendekatan dapat bervariasi berdasarkan layanan AWS yang digunakan. Untuk memeriksa potensi masalah terkait perangkat lunak yang dijalankan di instans Amazon EC2, tambahkan Amazon Inspector ke jalur untuk memberikan peringatan dan menghentikan proses pembuatan jika masalah atau potensi kecacatan terdeteksi. Amazon Inspector memantau sumber daya secara berkelanjutan. Anda juga dapat menggunakan produk sumber terbuka seperti Pemeriksaan Dependensi OWASP, Snyk, OpenVAS, manajer paket, dan alat AWS Partner untuk manajemen kerentanan.
Gunakan AWS Systems Manager: Anda bertanggung jawab atas manajemen patch sumber daya AWS Anda, termasuk instans Amazon Elastic Compute Cloud (Amazon EC2), Amazon Machine Image (AMI), dan sumber daya komputasi lainnya. AWS Systems Manager Patch Manager mengotomatiskan proses patching instans terkelola dengan pembaruan terkait keamanan dan jenis pembaruan lainnya. Patch Manager dapat digunakan untuk menerapkan patch pada instans Amazon EC2 untuk sistem operasi dan aplikasi, termasuk aplikasi Microsoft, paket layanan Windows, dan pembaruan versi minor untuk instans berbasis Linux. Selain Amazon EC2, Patch Manager juga dapat digunakan untuk melakukan patching server on-premise.

Untuk daftar sistem operasi yang didukung, lihat Sistem operasi yang didukung di Panduan Pengguna Systems Manager. Anda dapat memindai instans untuk hanya melihat laporan patch yang hilang, atau Anda dapat memindai dan secara otomatis memasang semua patch yang hilang.
Gunakan AWS Security Hub CSPM: Security Hub CSPM menyediakan tampilan komprehensif untuk status keamanan Anda di AWS. Program ini mengumpulkan data keamanan di berbagai layanan AWS dan mengumpulkan temuan tersebut dalam format standar, memungkinkan Anda untuk memprioritaskan temuan keamanan di seluruh layanan AWS.
Gunakan AWS CloudFormation: AWS CloudFormation adalah layanan infrastruktur sebagai kode (IaC) yang dapat membantu manajemen kerentanan dengan mengotomatiskan deployment sumber daya dan menstandarkan arsitektur sumber daya di berbagai akun dan lingkungan.

Sumber daya

Dokumen terkait:

Video terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC 6. Bagaimana cara melindungi sumber daya komputasi Anda?

SEC06-BP02 Sediakan komputasi dari image yang di-hardening