As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Construindo um programa escalável de gerenciamento de vulnerabilidades em AWS
*Anna McAbee e Megan O'Neil, Amazon Web Services ()AWS*
*Outubro de 2023* ([histórico do documento](doc-history.md))
Dependendo da tecnologia subjacente que você está usando, uma variedade de ferramentas e verificações podem gerar descobertas de segurança em um ambiente de nuvem. Sem processos implementados para lidar com essas descobertas, elas podem começar a se acumular, geralmente gerando de milhares a dezenas de milhares de descobertas em um curto espaço de tempo. No entanto, com um programa estruturado de gerenciamento de vulnerabilidades e a operacionalização adequada de suas ferramentas, sua organização pode processar e fazer a triagem de um grande número de descobertas de diversas fontes.
O *gerenciamento de vulnerabilidades* se concentra em descobrir, priorizar, avaliar, remediar e relatar vulnerabilidades. O *gerenciamento de patches*, por outro lado, se concentra em aplicar patches ou atualizar o software para remover ou remediar vulnerabilidades de segurança. O gerenciamento de patches é apenas um aspecto do gerenciamento de vulnerabilidades. Geralmente, recomendamos estabelecer um *patch-in-place processo* (também conhecido como *mitigate-in-place*processo) para lidar com cenários críticos, que já estão corretos, e um processo padrão que você execute regularmente para liberar imagens de máquina da Amazon (AMIs), contêineres ou pacotes de software corrigidos. Esses processos ajudam a preparar sua organização para responder rapidamente a uma vulnerabilidade de zero-day. Para sistemas críticos em um ambiente de produção, usar um patch-in-place processo pode ser mais rápido e confiável do que implantar uma nova AMI em toda a frota. Para patches programados regularmente, como patches de sistema operacional (SO) e software, recomendamos que você crie e teste usando processos de desenvolvimento padrão, como faria com qualquer alteração no nível do software. Isso proporciona melhor estabilidade para os modos operacionais padrão. Você pode usar o [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html), um recurso ou outros produtos de terceiros como patch-in-place soluções. AWS Systems Manager Para obter mais informações sobre como usar o Gerenciador de Patches, consulte [Patch management](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-operations-perspective/patch-management.html) in *AWS Cloud Adoption Framework: Operations Perspective*. Além disso, você pode usar o [EC2 Image](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) Builder para automatizar a criação, o gerenciamento e a implantação de imagens personalizadas up-to-date e de servidor.
A criação de um programa escalável de gerenciamento de vulnerabilidades AWS envolve o gerenciamento de vulnerabilidades tradicionais de software e rede, além dos riscos de configuração da nuvem. Um risco de configuração na nuvem, como um bucket não criptografado do [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html), deve seguir um processo de triagem e remediação semelhante ao de uma vulnerabilidade de software. Em ambos os casos, a equipe da aplicação deve assumir a propriedade e ser responsável pela segurança da sua aplicação, incluindo a infraestrutura subjacente. Essa distribuição de propriedade é fundamental para um programa de gerenciamento de vulnerabilidades eficaz e escalável.
Este guia analisa como otimizar a identificação e a remediação de vulnerabilidades para reduzir o risco geral. Use as seguintes seções para criar e iterar seu programa de gerenciamento de vulnerabilidades:
1. [Preparação](prepare-program.md): prepare seu pessoal, seus processos e sua tecnologia para identificar, avaliar e remediar vulnerabilidades em seu ambiente.
1. [Triagem e remediação](triage.md): encaminhe as descobertas de segurança para as partes interessadas relevantes, identifique a ação de remediação apropriada e, em seguida, execute-a.
1. [Relatórios e melhorias](report-and-iterate.md): use mecanismos de geração de relatórios para identificar oportunidades de melhoria e, em seguida, itere seu programa de gerenciamento de vulnerabilidades.
A criação de um programa de gerenciamento de vulnerabilidades na nuvem geralmente envolve iteração. Priorize as recomendações deste guia e revise regularmente seu backlog para acompanhar as mudanças tecnológicas e os requisitos de seus negócios.
## Público-alvo
Este guia é destinado a grandes empresas que têm três equipes principais responsáveis pelas descobertas relacionadas à segurança: uma equipe de segurança, um Cloud Center of Excellence (CCoE) ou uma equipe de nuvem e equipes de aplicativos (ou *desenvolvedores*). Este guia usa os modelos operacionais corporativos mais comuns e se baseia neles para permitir uma resposta mais eficiente às descobertas de segurança e melhorar os resultados de segurança. As organizações que usam AWS podem ter estruturas e modelos operacionais diferentes; no entanto, você pode modificar muitos dos conceitos deste guia para se adequar a diferentes modelos operacionais e organizações menores.
## Objetivos
Este guia pode ajudar você e sua organização a:
+ Desenvolver políticas para otimizar o gerenciamento de vulnerabilidades e garantir a responsabilidade.
+ Estabelecer mecanismos para distribuir a responsabilidade pela segurança às equipes de aplicações.
+ Configure as informações relevantes de Serviços da AWS acordo com as melhores práticas para gerenciamento escalável de vulnerabilidades
+ Distribuir a propriedade das descobertas de segurança.
+ Estabelecer mecanismos para relatar e iterar seu programa de gerenciamento de vulnerabilidades.
+ Melhorar a visibilidade das descobertas de segurança e a postura geral de segurança.