在 上建置可擴展的漏洞管理計劃 AWS

Anna McAbee 和 Megan O'Neil，Amazon Web Services (AWS)

2023 年 10 月 (文件歷史記錄)

根據您所使用的基礎技術，各種工具和掃描可能會在雲端環境中產生安全調查結果。如果沒有處理這些問題清單的程序，它們可以開始累積，通常在短時間內導致數千到數萬個問題清單。不過，透過結構化的漏洞管理計劃和適當的工具操作，您的組織可以處理和分類來自各種來源的大量問題清單。

漏洞管理著重於探索、排定優先順序、評估、修復和報告漏洞。另一方面，修補程式管理著重於修補或更新軟體，以移除或修復安全漏洞。修補程式管理只是漏洞管理的一個方面。一般而言，我們建議您同時建立patch-in-place程序 （也稱為mitigate-in-place程序），以解決關鍵、現在修補的情況，以及您定期執行的標準程序，以釋出修補的 Amazon Machine Image (AMIs)、容器或軟體套件。這些程序可協助您的組織準備好快速回應零時差漏洞。對於生產環境中的關鍵系統，使用patch-in-place程序比跨機群推出新的 AMI 更快且更可靠。對於定期排程的修補程式，例如作業系統 (OS) 和軟體修補程式，我們建議您使用標準開發程序來建置和測試，就像進行任何軟體層級變更一樣。這可為標準操作模式提供更好的穩定性。您可以使用修補程式管理員、 的功能 AWS Systems Manager或其他第三方產品做為就patch-in-place解決方案。如需使用修補程式管理員的詳細資訊，請參閱 AWS Cloud Adoption Framework： Operations Perspective 中的修補程式管理。此外，您可以使用 EC2 Image Builder 自動化建立、管理和部署自訂和up-to-date伺服器映像。

在 上建置可擴展的漏洞管理計劃，除了管理雲端組態風險之外，還 AWS 涉及管理傳統軟體和網路漏洞。雲端組態風險，例如未加密的 Amazon Simple Storage Service (Amazon S3) 儲存貯體，應該遵循與軟體漏洞類似的分類和修復程序。在這兩種情況下，應用程式團隊必須擁有並對其應用程式的安全性負責，包括基礎基礎設施。此擁有權分佈是有效且可擴展的漏洞管理計畫的關鍵。

本指南討論如何簡化漏洞的識別和修復，以降低整體風險。使用下列各節來建置和反覆執行您的漏洞管理計畫：

建置雲端漏洞管理計劃通常涉及反覆運算。排定本指南中的建議優先順序，並定期重新檢視您的待處理項目，以隨時掌握技術變更和業務需求。

目標對象

本指南適用於擁有三個主要團隊負責安全相關調查結果的大型企業：安全團隊、雲端卓越中心 (CCoE) 或雲端團隊，以及應用程式 （或開發人員) 團隊。本指南使用最常見的企業操作模型，並以這些操作模型為基礎，以更有效地回應安全問題清單並改善安全結果。使用 的組織 AWS 可能有不同的結構和不同的操作模型；不過，您可以修改本指南中的許多概念，以符合不同的操作模型和較小的組織。

目標

本指南可協助您和您的組織：