でのスケーラブルな脆弱性管理プログラムの構築 AWS

Anna McAbee と Megan O'Neil、Amazon Web Services (AWS）

2023 年 10 月 (ドキュメント履歴）

使用している基盤となるテクノロジーに応じて、さまざまなツールやスキャンがクラウド環境でセキュリティ上の検出結果を生成できます。これらの検出結果を処理するプロセスがないと、蓄積が開始され、多くの場合、短時間で何千から何万もの検出結果につながります。ただし、構造化された脆弱性管理プログラムとツールの適切な運用により、組織はさまざまなソースからの多数の検出結果を処理およびトリアージできます。

脆弱性管理は、脆弱性の検出、優先順位付け、評価、修復、報告に重点を置いています。一方、パッチ管理は、セキュリティの脆弱性を削除または修正するためのソフトウェアのパッチ適用または更新に重点を置いています。パッチ管理は脆弱性管理の一側面にすぎません。一般的に、patch-in-placeプロセス (導入時のmitigate-in-placeプロセスとも呼ばれます) を確立して、重要なパッチナウシナリオに対処し、パッチが適用された Amazon マシンイメージ (AMIs)、コンテナ、またはソフトウェアパッケージをリリースするために定期的に実行する標準プロセスを確立することをお勧めします。これらのプロセスは、ゼロデイ脆弱性に迅速に対応するための準備に役立ちます。本番環境の重要なシステムでは、patch-in-placeプロセスを使用すると、フリート全体に新しい AMI をロールアウトするよりも高速で信頼性が高くなります。オペレーティングシステム (OS) やソフトウェアパッチなど、定期的にスケジュールされたパッチについては、ソフトウェアレベルの変更と同様に、標準の開発プロセスを使用してビルドおよびテストすることをお勧めします。これにより、標準動作モードの安定性が向上します。パッチマネージャー、 の一機能 AWS Systems Manager、またはその他のサードパーティー製品をpatch-in-placeソリューションとして使用できます。Patch Manager の使用の詳細については、AWS 「Cloud Adoption Framework: Operations Perspective」の「パッチ管理」を参照してください。また、EC2 Image Builder を使用して、カスタマイズされたup-to-dateサーバーイメージの作成、管理、デプロイを自動化することもできます。

でスケーラブルな脆弱性管理プログラムを構築するには、クラウド設定リスクに加えて、従来のソフトウェアとネットワークの脆弱性を管理する AWS 必要があります。暗号化されていない Amazon Simple Storage Service (Amazon S3) バケットなどのクラウド設定リスクは、ソフトウェアの脆弱性と同様のトリアージおよび修復プロセスに従う必要があります。どちらの場合も、アプリケーションチームは、基盤となるインフラストラクチャを含め、アプリケーションのセキュリティを所有し、責任を負う必要があります。この所有権の分散は、効果的でスケーラブルな脆弱性管理プログラムにとって重要です。

このガイドでは、全体的なリスクを軽減するために脆弱性の特定と修復を合理化する方法について説明します。以下のセクションを使用して、脆弱性管理プログラムを構築して反復します。

クラウド脆弱性管理プログラムの構築には、多くの場合、反復が必要です。このガイドの推奨事項に優先順位を付け、バックログを定期的に見直して、テクノロジーの変化とビジネス要件を常に把握します。

対象者

このガイドは、セキュリティ関連の検出結果を担当する 3 つの主要チームを持つ大企業を対象としています。セキュリティチーム、Cloud Center of Excellence (CCoE) またはクラウドチーム、アプリケーション (または開発者) チームです。このガイドでは、最も一般的なエンタープライズ運用モデルを使用し、これらの運用モデルに基づいて構築することで、セキュリティ上の検出結果に効率的に対応し、セキュリティ上の成果を向上させます。を使用する組織は、構造や運用モデルが異なる AWS 場合がありますが、このガイドの概念の多くは、運用モデルや小規模な組織に合わせて変更できます。

目的

このガイドは、ユーザーと組織に役立ちます。