As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Prepare seu AWS ambiente
Antes de implementar qualquer ferramenta de gerenciamento de vulnerabilidades, certifique-se de que seu ambiente da AWS seja arquitetado para ser compatível com um programa escalável de gerenciamento de vulnerabilidades. A estrutura das políticas de marcação de sua empresa Contas da AWS e da sua organização pode simplificar o processo de criação de um programa escalável de gerenciamento de vulnerabilidades.
Desenvolva uma Conta da AWS estrutura
AWS Organizationsajuda a gerenciar e governar centralmente um AWS ambiente à medida que sua empresa cresce e expande seus AWS recursos. Uma organização AWS Organizations consolida você Contas da AWS em grupos lógicos, ou unidades organizacionais, para que você possa administrá-los como uma única unidade. Você gerencia o AWS Organizations em uma conta dedicada, denominada conta gerencial. Para obter mais informações, consulte Terminologia e conceitos do AWS Organizations.
Recomendamos que você gerencie seu ambiente AWS de várias contas em AWS Organizations. Isso ajuda a criar um inventário completo das contas e recursos da sua empresa. Esse inventário completo de ativos é um aspecto essencial do gerenciamento de vulnerabilidades. As equipes de aplicações não devem usar contas de fora da organização.
AWS Control Towerajuda você a configurar e administrar um ambiente AWS com várias contas, seguindo as melhores práticas prescritivas. Se você ainda não estabeleceu um ambiente com várias contas, AWS Control Tower é um bom ponto de partida.
Recomendamos usar a estrutura de conta dedicada e as melhores práticas descritas na Arquitetura AWS de Referência de Segurança (AWS SRA). A conta do Security Tooling deve servir como seu administrador delegado para seus serviços de segurança. Posteriormente neste guia, serão fornecidas mais informações sobre como configurar suas ferramentas de gerenciamento de vulnerabilidades nessa conta. Hospede aplicações em contas dedicadas na unidade organizacional (UO) de workload. Isso estabelece um forte isolamento no nível de workload e limites de segurança explícitos para cada aplicação. Para obter informações sobre os princípios de design e os benefícios do uso de uma abordagem de várias contas, consulte Organizando seu AWS ambiente usando várias contas (AWS whitepaper).
Ter uma estrutura de contas intencional e gerenciar os serviços de segurança de forma centralizada em uma conta dedicada são aspectos essenciais de um programa escalável de gerenciamento de vulnerabilidades.
Definir, implementar e aplicar tags.
As tags são pares de valores-chave que atuam como metadados para organizar seus recursos. AWS Para obter mais informações, consulte Marcar seus recursos do AWS. Você pode usar tags para fornecer contexto empresarial, como unidade de negócios, proprietário da aplicação, ambiente e centro de custos. A tabela a seguir mostra um conjunto de exemplos de tags.
| Chave | Valor |
|---|---|
| BusinessUnit | HumanResources |
| CostCenter | CC101 |
| ApplicationTeam | HumanResourcesTechnology |
| Environment | Produção |
As tags ajudam a priorizar as descobertas. Por exemplo, pode ajudar você a:
-
Identificar o proprietário de um recurso responsável por aplicar patches em uma vulnerabilidade.
-
Acompanhar quais aplicações ou unidades de negócios têm um grande número de descobertas.
-
Aumentar a gravidade das descobertas de determinadas classificações de dados, como informações de identificação pessoal (PII) ou dados do setor de cartões de pagamento (PCI).
-
Identificar o tipo de dados no ambiente, como dados de teste em um ambiente de desenvolvimento de nível inferior ou dados de produção.
Para ajudar você a obter uma marcação eficaz em grande escala, siga as instruções em Como criar sua estratégia de marcação em Best Practices for Tagging AWS Resources (AWS whitepaper).
