SEC06-BP01 Gestione delle vulnerabilità

Scansiona e correggi frequentemente le vulnerabilità del codice, delle dipendenze e dell'infrastruttura per proteggere da nuove minacce.

Partendo dalla configurazione della tua infrastruttura di calcolo, puoi automatizzare la creazione e l'aggiornamento delle risorse tramite AWS CloudFormation. CloudFormation consente di creare modelli scritti in YAML o JSON, tramite esempi AWS o scrivendone di propri. In questo modo è possibile creare modelli di infrastruttura sicuri per impostazione predefinita che puoi verificare con CloudFormation Guard, per risparmiare tempo e diminuire il rischio di errori di configurazione. Puoi creare la tua infrastruttura e distribuire le tue applicazioni tramite la distribuzione continua, ad esempio con AWS CodePipeline, per automatizzare le fasi di creazione, test e rilascio.

Sei responsabile della gestione delle patch per le tue risorse AWS, incluse le istanze Amazon Elastic Compute Cloud (Amazon EC2), Amazon Machine Images (AMI) e molte altre risorse di calcolo. Per le istanze Amazon EC2, AWSSystems Manager Patch Manager automatizza il processo di applicazione di patch alle istanze gestite con aggiornamenti correlati alla sicurezza e di altro tipo. Puoi utilizzare il gestore patch per applicare patch sia per i sistemi operativi sia per le applicazioni. (Sul server di Windows, il supporto per le applicazioni è limitato agli aggiornamenti per le applicazioni Microsoft). Puoi usare Patch Manager per installare i Service Pack sulle istanze Windows ed eseguire aggiornamenti minori di versione sulle istanze Linux. Puoi applicare le patch ai parchi delle istanze Amazon EC2 o ai server on-premise e alle macchine virtuali (VM) secondo il tipo di sistema operativo. Questo comprende le versioni supportate dei server Windows, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES) e Ubuntu Server. Puoi eseguire la scansione delle istanze per visualizzare solo un report delle patch mancanti oppure puoi eseguire la scansione e installare automaticamente tutte le patch mancanti.

Livello di rischio associato se questa best practice non fosse adottata: Alto

Guida all'implementazione

Configura Amazon Inspector: Amazon Inspector testa l'accessibilità della rete delle tue istanze Amazon Elastic Compute Cloud (Amazon EC2) e lo stato di sicurezza delle applicazioni eseguite su tali istanze. Amazon Inspector valuta le applicazioni relativamente a esposizione, vulnerabilità e deviazioni dalle best practice.
- What is Amazon Inspector? (What is Amazon Inspector?)
Esegui la scansione del codice sorgente: esegui la scansione di librerie e dipendenze per rilevare eventuali vulnerabilità.
- Amazon CodeGuru
- OWASP: strumenti di analisi del codice sorgente

Risorse

Documenti correlati:

Video correlati:

Esempi correlati:

Laboratorio: Distribuzione automatizzata di firewall per applicazioni Web

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC 6 In che modo proteggi le risorse di calcolo?

SEC06-BP02 Riduzione della superficie d'attacco