本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 上建置可擴展的漏洞管理計劃 AWS
<a name="introduction"></a>

*Anna McAbee 和 Megan O'Neil，Amazon Web Services (AWS)*

*2023 年 10 月* ([文件歷史記錄](doc-history.md))

根據您所使用的基礎技術，各種工具和掃描可能會在雲端環境中產生安全調查結果。如果沒有處理這些問題清單的程序，它們可以開始累積，通常在短時間內導致數千到數萬個問題清單。不過，透過結構化的漏洞管理計劃和適當的工具操作，您的組織可以處理和分類來自各種來源的大量問題清單。

*漏洞管理*著重於探索、排定優先順序、評估、修復和報告漏洞。另一方面，*修補程式管理*著重於修補或更新軟體，以移除或修復安全漏洞。修補程式管理只是漏洞管理的一個方面。一般而言，我們建議您建立*patch-in-place*（也稱為*mitigate-in-place*程序），以解決關鍵、現在的修補案例，以及定期執行的標準程序，以釋出修補的 Amazon Machine Image (AMIs)、容器或軟體套件。這些程序可協助您的組織準備好快速回應零時差漏洞。對於生產環境中的關鍵系統，使用patch-in-place程序比跨機群推出新的 AMI 更快且更可靠。對於定期排程修補程式，例如作業系統 (OS) 和軟體修補程式，我們建議您使用標準開發程序來建置和測試，就像進行任何軟體層級變更一樣。這可為標準操作模式提供更好的穩定性。您可以使用[修補程式管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html)、 的功能 AWS Systems Manager或其他第三方產品做為就patch-in-place解決方案。如需使用修補程式管理員的詳細資訊，請參閱 *AWS Cloud Adoption Framework： Operations Perspective* 中的[修補程式管理](https://docs.aws.amazon.com/whitepapers/latest/aws-caf-operations-perspective/patch-management.html)。此外，您可以使用 [EC2 Image Builder](https://docs.aws.amazon.com/imagebuilder/latest/userguide/what-is-image-builder.html) 自動化建立、管理和部署自訂和up-to-date伺服器映像。

在 上建置可擴展的漏洞管理計劃，除了雲端組態風險之外，還 AWS 涉及管理傳統軟體和網路漏洞。雲端組態風險，例如未加密的 [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) 儲存貯體，應該遵循與軟體漏洞類似的分類和修復程序。在這兩種情況下，應用程式團隊必須擁有並對其應用程式的安全性負責，包括基礎基礎設施。此所有權分佈是有效且可擴展的漏洞管理計劃的關鍵。

本指南討論如何簡化漏洞的識別和修復，以降低整體風險。使用下列各節來建置和反覆執行您的漏洞管理計畫：

1. [準備](prepare-program.md) – 準備人員、程序和技術，以識別、評估和修復環境中的漏洞。

1. [分類和修復](triage.md) – 將安全調查結果路由至相關利益相關者、識別適當的修復動作，然後採取修復動作。

1. [報告和改進](report-and-iterate.md) – 使用報告機制來識別改進機會，然後反覆執行漏洞管理計畫。

建置雲端漏洞管理計劃通常涉及反覆運算。排定本指南中的建議優先順序，並定期重新檢視您的待處理項目，以隨時掌握最新的技術變更和業務需求。

## 目標對象
<a name="intended-audience"></a>

本指南適用於擁有三個主要團隊負責安全相關調查結果的大型企業：安全團隊、雲端卓越中心 (CCoE) 或雲端團隊，以及應用程式 （或*開發人員*) 團隊。本指南使用最常見的企業操作模型，並以這些操作模型為基礎，以更有效地回應安全問題清單並改善安全結果。使用 的組織 AWS 可能有不同的結構和不同的操作模型；不過，您可以修改本指南中的許多概念，以符合不同的操作模型和較小的組織。

## 目標
<a name="objectives"></a>

本指南可協助您和您的組織：
+ 制定政策以簡化漏洞管理並確保責任
+ 建立機制，將安全責任分發給應用程式團隊
+  AWS 服務 根據可擴展性漏洞管理的最佳實務設定相關
+ 分發安全調查結果的擁有權
+ 建立機制以在漏洞管理計劃上報告和反覆執行
+ 改善安全調查結果可見性並改善整體安全狀態