本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在上构建可扩展的漏洞管理程序 AWS
<a name="introduction"></a>

*Anna McAbee 和 Megan O'Neil，Amazon Web Services ()AWS*

*2023 年 10 月*（[文档历史记录](doc-history.md)）

根据您使用的底层技术，各种工具和扫描可以在云环境中生成安全调查发现。如果处理这些调查发现的流程没有落实，它们就会开始积累，通常会在短时间内产生成千上万的调查发现。不过，借助结构化的漏洞管理方案并将相关工具妥善落地应用，您的组织便能处理并分级筛选来自不同来源的大量调查发现。

*漏洞管理*侧重于发现漏洞、确定其优先级、评测、修复和报告漏洞。而*补丁管理*则侧重于修补或更新软件以删除或修复安全漏洞。补丁管理只是漏洞管理的一个方面。通常，我们建议既建立一个*patch-in-place 流程*（也称为*mitigate-in-place*流程）来解决关键的、立即修补的情况，也建议您定期运行一个标准流程，以便发布经过修补的 Amazon 系统映像 (AMIs)、容器或软件包。这些流程有助于您的组织做好准备，以快速响应零日漏洞。对于生产环境中的关键系统，使用 patch-in-place流程比在机群中部署新的 AMI 更快、更可靠。对于定期计划的修补，例如操作系统（OS）和软件修补，我们建议您像处理任何软件级别的更改一样，使用标准开发流程进行构建和测试。这为标准操作模式提供了更好的稳定性。您可以使用 [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) AWS Systems Manager、的功能或其他第三方产品作为 patch-in-place解决方案。有关使用补丁管理器的更多信息，请参阅《AWS Cloud Adoption Framework: Operations Perspective》**中的 [Patch management](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-operations-perspective/patch-management.html)。此外，您还可以使用 [EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) 自动创建、管理和部署自定义镜像和 up-to-date服务器映像。

构建可扩展的漏洞管理程序除了云配置风险外，还 AWS 涉及管理传统软件和网络漏洞。未加密的 [Amazon Simple Storage Service（Amazon S3）](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)存储桶等云配置风险应遵循与软件漏洞类似的分类与修复流程。在这两种情况下，应用程序团队都必须拥有其应用程序（包括底层基础设施）并对其安全负责。这种责任归属分配是有效且可扩展的漏洞管理计划的关键。

本指南讨论如何简化漏洞的识别与修复以降低总体风险。使用以下部分来构建和迭代您的漏洞管理计划：

1. [准备](prepare-program.md)：准备好您的人员、流程和技术，以识别、评测和修复环境中的漏洞。

1. [分类与修复](triage.md)：将安全调查发现反馈给相关的利益相关者，确定适当的修复措施，然后采取修复措施。

1. [报告和改进](report-and-iterate.md)：使用报告机制来识别改进机会，然后对漏洞管理计划进行迭代。

构建云漏洞管理计划通常涉及迭代。对本指南中的建议进行优先排序，并定期重访待办事项，以跟上最新的技术变化和业务需求。

## 目标受众
<a name="intended-audience"></a>

本指南适用于拥有三个主要团队负责安全相关发现的大型企业：安全团队、云卓越中心 (CCoE) 或云团队，以及应用程序（或*开发人员*）团队。本指南使用最常见的企业运营模式，并在这些运营模式的基础上进行构建，以更有效地响应安全调查发现并改善安全成果。使用的组织 AWS 可能具有不同的结构和不同的运营模式；但是，您可以修改本指南中的许多概念，以适应不同的运营模式和较小的组织。

## 目标
<a name="objectives"></a>

本指南可以帮助您和您的组织：
+ 制定策略以简化漏洞管理并确保问责制
+ 建立机制以将安全责任分配给应用程序团队
+  AWS 服务 根据可扩展漏洞管理的最佳实践进行相关配置
+ 分配安全调查发现的责任归属
+ 建立报告漏洞管理计划并对其进行迭代的机制
+ 提升安全调查发现的可见性并改善整体安全状况