Criação de um programa escalável de gerenciamento de vulnerabilidades na AWS - AWS Orientação prescritiva
Público-alvoObjetivos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de um programa escalável de gerenciamento de vulnerabilidades na AWS

Anna McAbee e Megan O'Neil, Amazon Web Services (AWS)

Outubro de 2023 (histórico do documento)

Dependendo da tecnologia subjacente que você está usando, uma variedade de ferramentas e verificações podem gerar descobertas de segurança em um ambiente de nuvem. Sem processos implementados para lidar com essas descobertas, elas podem começar a se acumular, geralmente gerando de milhares a dezenas de milhares de descobertas em um curto espaço de tempo. No entanto, com um programa estruturado de gerenciamento de vulnerabilidades e a operacionalização adequada de suas ferramentas, sua organização pode processar e fazer a triagem de um grande número de descobertas de diversas fontes.

O gerenciamento de vulnerabilidades se concentra em descobrir, priorizar, avaliar, remediar e relatar vulnerabilidades. O gerenciamento de patches, por outro lado, se concentra em aplicar patches ou atualizar o software para remover ou remediar vulnerabilidades de segurança. O gerenciamento de patches é apenas um aspecto do gerenciamento de vulnerabilidades. Em geral, recomendamos estabelecer um processo de aplicação de patches no local (também conhecido como processo de mitigação no local) para lidar com cenários críticos e de aplicação imediata de patches, e um processo padrão que você execute regularmente para lançar imagens de máquina da Amazon (AMIs), contêineres ou pacotes de software com patches. Esses processos ajudam a preparar sua organização para responder rapidamente a uma vulnerabilidade de zero-day. Para sistemas críticos em um ambiente de produção, usar um processo de aplicação de patches no local pode ser mais rápido e confiável do que implantar uma nova AMI em toda a frota. Para patches programados regularmente, como patches de sistema operacional (SO) e software, recomendamos que você crie e teste usando processos de desenvolvimento padrão, como faria com qualquer alteração no nível do software. Isso proporciona melhor estabilidade para os modos operacionais padrão. Você pode usar o Gerenciador de Patches, um recurso do AWS Systems Manager, ou outros produtos de terceiros, como soluções de aplicações de patches no local. Para obter mais informações sobre como usar o Gerenciador de Patches, consulte Patch management in AWS Cloud Adoption Framework: Operations Perspective. Você também pode usar o EC2 Image Builder para automatizar a criação, o gerenciamento e a implantação de imagens de servidor personalizadas, seguras e atualizadas.

A criação de um programa escalável de gerenciamento de vulnerabilidades na AWS envolve o gerenciamento de vulnerabilidades tradicionais de software e de rede, além dos riscos de configuração na nuvem. Um risco de configuração na nuvem, como um bucket não criptografado do Amazon Simple Storage Service (Amazon S3), deve seguir um processo de triagem e remediação semelhante ao de uma vulnerabilidade de software. Em ambos os casos, a equipe da aplicação deve assumir a propriedade e ser responsável pela segurança da sua aplicação, incluindo a infraestrutura subjacente. Essa distribuição de propriedade é fundamental para um programa de gerenciamento de vulnerabilidades eficaz e escalável.

Este guia analisa como otimizar a identificação e a remediação de vulnerabilidades para reduzir o risco geral. Use as seguintes seções para criar e iterar seu programa de gerenciamento de vulnerabilidades:

  1. Preparação: prepare seu pessoal, seus processos e sua tecnologia para identificar, avaliar e remediar vulnerabilidades em seu ambiente.

  2. Triagem e remediação: encaminhe as descobertas de segurança para as partes interessadas relevantes, identifique a ação de remediação apropriada e, em seguida, execute-a.

  3. Relatórios e melhorias: use mecanismos de geração de relatórios para identificar oportunidades de melhoria e, em seguida, itere seu programa de gerenciamento de vulnerabilidades.

A criação de um programa de gerenciamento de vulnerabilidades na nuvem geralmente envolve iteração. Priorize as recomendações deste guia e revise regularmente seu backlog para acompanhar as mudanças tecnológicas e os requisitos de seus negócios.

Público-alvo

Este guia destina-se a grandes empresas que têm três equipes principais responsáveis pelas descobertas relacionadas à segurança: uma equipe de segurança, uma equipe do Centro de Excelência da Nuvem (CCoE) ou equipe de nuvem e equipes de aplicações (ou desenvolvedores). Este guia usa os modelos operacionais corporativos mais comuns e se baseia neles para permitir uma resposta mais eficiente às descobertas de segurança e melhorar os resultados de segurança. As organizações que usam a AWS podem ter estruturas e modelos operacionais diferentes. No entanto, você pode modificar muitos dos conceitos deste guia para se adequar a diferentes modelos operacionais e organizações menores.

Objetivos

Este guia pode ajudar você e sua organização a:

  • Desenvolver políticas para otimizar o gerenciamento de vulnerabilidades e garantir a responsabilidade.

  • Estabelecer mecanismos para distribuir a responsabilidade pela segurança às equipes de aplicações.

  • Configurar os Serviços da AWS relevantes de acordo com as práticas recomendadas para o gerenciamento escalável de vulnerabilidades.

  • Distribuir a propriedade das descobertas de segurança.

  • Estabelecer mecanismos para relatar e iterar seu programa de gerenciamento de vulnerabilidades.

  • Melhorar a visibilidade das descobertas de segurança e a postura geral de segurança.