本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
准备好您的 AWS 环境
在实施任何漏洞管理工具之前,请确保您的 AWS 环境架构为支持可扩展的漏洞管理计划。您 AWS 账户 和您的组织的标签策略结构可以简化构建可扩展漏洞管理计划的过程。
开发 AWS 账户 结构
AWS Organizations随着业务的增长和 AWS 资源的扩展,可以帮助集中管理和治理 AWS 环境。中的组织 AWS 账户 将您 AWS Organizations 整合到逻辑组或组织单位中,这样您就可以将其作为一个单元进行管理。您可以通过一个名为管理账户的专用账户管理 AWS Organizations 。有关更多信息,请参阅 AWS Organizations 术语和概念。
我们建议您在中管理您的 AWS 多账户环境。 AWS Organizations这有助于创建公司账户和资源的完整清单。这一完整的资产清单是漏洞管理的关键环节。应用程序团队不应使用组织外部账户。
AWS Control Tower按照规范性最佳实践,帮助您设置和管理 AWS 多账户环境。如果您尚未建立多账户环境,那么 AWS Control Tower 这是一个不错的起点。
我们建议使用AWS 安全参考架构 (AWS SRA) 中描述的专用账户结构和最佳实践。安全工具账户应充当安全服务的委派管理员。本指南稍后将提供有关在此账户中配置漏洞管理工具的更多信息。在工作负载组织单元(OU)的专用账户中托管应用程序。这为每个应用程序建立了强大的工作负载级隔离和明确的安全边界。有关使用多账户方法的设计原则和优势的信息,请参阅使用多个账户组织 AWS 环境(AWS 白皮书)。
建立精心设计的账户结构并通过专用账户集中管理安全服务,是可扩展漏洞管理计划的关键环节。
定义、实施和强制执行标签
标签是键值对,用作组织资源的元数据。 AWS 有关更多信息,请参阅标记您的 AWS 资源。您可以使用标签提供业务上下文,例如业务部门、应用程序所有者、环境和成本中心。下表显示一组示例标签。
| 键 | 值 |
|---|---|
| BusinessUnit | HumanResources |
| CostCenter | CC101 |
| ApplicationTeam | HumanResourcesTechnology |
| 环境 | 生产 |
标签可帮助您确定调查发现的优先顺序。例如,其可以帮助您:
-
明确负责修补漏洞的资源所有者
-
跟踪哪些应用程序或业务部门有大量调查发现
-
上报个人身份信息(PII)或支付卡行业(PCI)数据等某些数据分类调查发现的严重性
-
明确环境中的数据类型,例如下层开发环境中的测试数据或生产数据
为了帮助您实现大规模的有效标记,请按照《标记 AWS 资源的最佳实践》(AWS 白皮书)中构建标签策略中的说明进行操作。
