기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 에서 확장 가능한 취약성 관리 프로그램 구축 AWS
<a name="introduction"></a>

*Anna McAbee 및 Megan O'Neil, Amazon Web Services(AWS)*

*2023년 10월*([문서 기록](doc-history.md))

사용 중인 기본 기술에 따라 다양한 도구와 스캔이 클라우드 환경에서 보안 조사 결과를 생성할 수 있습니다. 이러한 조사 결과를 처리하는 프로세스가 없으면 이러한 조사 결과가 누적되기 시작하여 짧은 시간 내에 수천에서 수만 개의 조사 결과가 쌓일 수 있습니다. 그러나 체계적인 취약성 관리 프로그램과 적절한 도구 운영으로 조직은 다양한 소스의 많은 조사 결과를 처리하고 분류할 수 있습니다.

*취약성 관리*는 취약성 검색, 우선순위 지정, 평가, 문제 해결 및 보고에 중점을 둡니다. 반면 *패치 관리*는 보안 취약성을 제거하거나 해결하기 위해 소프트웨어를 패치하거나 업데이트하는 데 중점을 둡니다. 패치 관리는 취약성 관리의 한 측면일 뿐입니다. 일반적으로 패치된 Amazon Machine Image(AMI), 컨테이너 또는 소프트웨어 패키지를 릴리스하기 위해 정기적 주기에서 실행하는 표준 프로세스 및 중요한 지금 패치 적용 시나리오를 처리하기 위해 *제자리 패치 프로세스*(*제자리 완화* 프로세스라고도 함)를 모두 설정하는 것이 좋습니다. 이러한 프로세스를 통해 조직은 제로데이 취약성에 신속하게 대응할 수 있습니다. 프로덕션 환경의 중요한 시스템의 경우 플릿 전체에 새 AMI를 롤아웃하는 것보다 제자리 패치 프로세스를 사용하는 것이 더 빠르고 신뢰할 수 있습니다. 운영 체제(OS) 및 소프트웨어 패치와 같이 정기적으로 예약된 패치의 경우 소프트웨어 수준 변경과 마찬가지로 표준 개발 프로세스를 사용하여 빌드하고 테스트하는 것이 좋습니다. 이를 통해 표준 작동 모드의 안정성이 향상됩니다. [패치 관리자](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html), 또는 AWS Systems Manager기타 타사 제품을 patch-in-place 솔루션으로 사용할 수 있습니다. Patch Manager 사용에 대한 자세한 내용은 *AWS Cloud Adoption Framework: Operations Perspective*의 [Patch management](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-operations-perspective/patch-management.html)를 참조하세요. 또한 [EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html)를 사용하여 사용자 지정된 최신 서버 이미지의 생성, 관리 및 배포를 자동화할 수 있습니다.

에서 확장 가능한 취약성 관리 프로그램을 구축 AWS 하려면 클라우드 구성 위험 외에도 기존 소프트웨어 및 네트워크 취약성을 관리해야 합니다. 암호화되지 않은 [Amazon Simple Storage Service(Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) 버킷과 같은 클라우드 구성 위험은 소프트웨어 취약성과 유사한 분류 및 문제 해결 프로세스를 따라야 합니다. 이 두 경우 기본 인프라를 포함하여 애플리케이션의 보안을 위해 소유권과 책임은 모두 애플리케이션 팀이 보유해야 합니다. 이러한 소유권 배포는 효과적이고 확장 가능한 취약성 관리 프로그램의 핵심입니다.

이 가이드에서는 전반적인 위험을 줄이기 위해 취약성의 식별 및 해결을 간소화하는 방법을 설명합니다. 다음 섹션을 사용하여 취약성 관리 프로그램을 빌드하고 반복합니다.

1. [준비](prepare-program.md) - 사람, 프로세스 및 기술을 준비하여 환경의 취약성을 식별, 평가 및 해결합니다.

1. [분류 및 해결](triage.md) - 보안 조사 결과를 관련 이해관계자에게 전달하고 적절한 해결 조치를 식별한 다음 문제 해결 조치를 취합니다.

1. [보고 및 개선](report-and-iterate.md) - 보고 메커니즘을 사용하여 개선 기회를 식별한 다음 취약성 관리 프로그램을 반복합니다.

클라우드 취약성 관리 프로그램을 빌드하려면 종종 반복이 필요합니다. 이 가이드에서 권장 사항의 우선순위를 정하고 백로그를 정기적으로 다시 검토하여 기술 변경 사항과 비즈니스 요구 사항을 최신 상태로 유지합니다.

## 대상 독자
<a name="intended-audience"></a>

이 가이드는 보안 관련 조사 결과를 담당하는 세 개의 주요 팀, 즉 보안 팀, 클라우드 혁신 센터(CCoE)나 클라우드 팀, 애플리케이션이나 *개발자* 팀이 있는 대기업을 대상으로 합니다. 이 가이드에서는 가장 일반적인 엔터프라이즈 운영 모델을 사용하고 이러한 운영 모델을 기반으로 보안 조사 결과에 더 효율적으로 대응하고 보안 성과를 개선합니다. 를 사용하는 조직은 구조와 운영 모델이 다를 AWS 수 있지만,이 가이드의 많은 개념을 다양한 운영 모델과 소규모 조직에 맞게 수정할 수 있습니다.

## 목표
<a name="objectives"></a>

이 가이드는 사용자와 조직을 도울 수 있습니다.
+ 취약성 관리를 간소화하고 책임을 보장하는 정책 개발
+ 보안에 대한 책임을 애플리케이션 팀으로 분산하는 메커니즘 설정
+ 확장 가능한 취약성 관리를 위한 모범 사례에 AWS 서비스 따라 관련 구성
+ 보안 조사 결과의 소유권 분산
+ 취약성 관리 프로그램을 보고하고 반복하는 메커니즘 설정
+ 보안 조사 결과 가시성 개선 및 전반적인 보안 태세 개선