在 AWS 上构建可扩展的漏洞管理计划

Anna McAbee 和 Megan O'Neil，Amazon Web Services（AWS）

2023 年 10 月（文档历史记录）

根据您使用的底层技术，各种工具和扫描可以在云环境中生成安全调查发现。如果处理这些调查发现的流程没有落实，它们就会开始积累，通常会在短时间内产生成千上万的调查发现。但是，通过结构化的漏洞管理计划和适当运行的工具，您的组织可以处理和分类来自不同来源的大量调查发现。

漏洞管理侧重于发现漏洞、确定其优先级、评测、修复和报告漏洞。另一方面，补丁管理侧重于修补或更新软件以删除或修复安全漏洞。补丁管理只是漏洞管理的一个方面。通常，我们建议建立两种流程：一种就地补丁流程（也称为就地缓解流程）用于解决立即修补的关键场景，一种定期运行的标准流程，以便发布已修补的亚马逊机器映像（AMI）、容器或软件包。这些流程有助于您的组织做好准备，以快速响应零日漏洞。对于生产环境中的关键系统，使用就地修补流程比在实例集中推出新的 AMI 更快、更可靠。对于定期计划的修补，例如操作系统（OS）和软件修补，我们建议您像处理任何软件级别的更改一样，使用标准开发流程进行构建和测试。这为标准操作模式提供了更好的稳定性。您可以使用补丁管理器（AWS Systems Manager 的一项功能）或其他第三方产品作为就地修补解决方案。有关使用补丁管理器的更多信息，请参阅《AWS Cloud Adoption Framework: Operations Perspective》中的 Patch management。此外，您可以使用 EC2 Image Builder 自动化创建、管理和部署自定义的最新服务器映像。

在 AWS 上构建可扩展的漏洞管理计划，除了云配置风险外，还涉及管理传统软件和网络漏洞。未加密的 Amazon Simple Storage Service（Amazon S3）存储桶等云配置风险应遵循与软件漏洞类似的分类与修复流程。在这两种情况下，应用程序团队都必须拥有其应用程序（包括底层基础设施）并对其安全负责。这种责任归属分配是有效且可扩展的漏洞管理计划的关键。

本指南讨论如何简化漏洞的识别与修复以降低总体风险。使用以下部分来构建和迭代您的漏洞管理计划：

构建云漏洞管理计划通常涉及迭代。对本指南中的建议进行优先排序，并定期重访待办事项，以跟上最新的技术变化和业务需求。

目标受众

本指南适用于拥有三个主要团队负责安全相关调查发现的大型企业：安全团队、云卓越中心（CCoE）或云团队，以及应用程序（或开发人员）团队。本指南使用最常见的企业运营模式，并在这些运营模式的基础上进行构建，以更有效地响应安全调查发现并改善安全成果。使用 AWS 的组织可能具有不同的结构和不同的运营模式；但是，您可以修改本指南中的许多概念，以适应不同的运营模式和较小的组织。

目标

本指南可以帮助您和您的组织：