# SEC06-BP01 Schwachstellenmanagement
<a name="sec_protect_compute_vulnerability_management"></a>

 Überprüfen Sie häufig Schwachstellen in Ihrem Code, Ihren Abhängigkeiten und in Ihrer Infrastruktur, um Schutz vor neuen Bedrohungen zu bieten. 

 Bei der Konfiguration Ihrer Datenverarbeitungsinfrastruktur können Sie die Erstellung und Aktualisierung von Ressourcen mit AWS CloudFormation automatisieren. CloudFormation ermöglicht die Erstellung von Vorlagen, die in YAML oder JSON geschrieben sind. Dafür können Sie entweder AWS-Beispiele verwenden oder Ihre eigenen Vorlagen schreiben. So können Sie standardmäßig sichere Infrastrukturvorlagen erstellen, die Sie mit [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/)verifizieren können. Das spart Ihnen Zeit und reduziert das Risiko von Konfigurationsfehlern. Sie können für den Aufbau Ihrer Infrastruktur und die Bereitstellung Ihrer Anwendungen auf Continuous Delivery zurückgreifen, z. B. mit [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html), um das Erstellen, Testen und Freigeben zu automatisieren. 

 Sie sind für das Patch-Management für Ihre AWS-Ressourcen verantwortlich, einschließlich Amazon Elastic Compute Cloud(Amazon EC2)-Instances, Amazon Machine Images (AMIs) und viele andere Datenverarbeitungsressourcen. Für Amazon EC2-Instances automatisiert AWS Systems Manager das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates. Sie können Patch Manager verwenden, um Patches für Betriebssysteme und Anwendungen anzuwenden. (Für Windows-Server ist der Anwendungs-Support auf Updates von Microsoft-Anwendungen beschränkt.) Sie können Patch Manager verwenden, um Service Packs auf Windows-Instances zu installieren und kleinere Versions-Upgrades auf Linux-Instances vorzunehmen. Sie können Flotten von Amazon EC2-Instances oder Ihre On-Premises-Server und virtuelle Maschinen (VMs) nach Betriebssystemtyp patchen. Das beinhaltet unterstützte Versionen von Windows Server, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES) und Ubuntu Server. Sie können Instances scannen, um nur fehlende Patches angezeigt zu bekommen oder Sie können scannen und automatisch alle fehlenden Patches installieren. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Konfigurieren von Amazon Inspector: Amazon Inspector testen die Netzwerkzugänglichkeit Ihrer Amazon Elastic Compute Cloud (Amazon EC2)-Instances und den Sicherheitsstatus der Anwendungen, die auf diesen Instances ausgeführt werden. Amazon Inspector bewertet Anwendungen hinsichtlich Exposition, Schwachstellen und Abweichungen von Best Practices. 
  +  [Was ist Amazon Inspector?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html) 
+  Scannen von Quellcode: Durchsuchen Sie Bibliotheken und Abhängigkeiten nach Schwachstellen. 
  +  [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) 
  +  [OWASP: Tools zur Quellcodeanalyse](https://owasp.org/www-community/Source_Code_Analysis_Tools) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Replacing a Bastion Host with Amazon EC2 Systems Manager (Ersetzen eines Bastion-Host mit Amazon EC2 Systems Manager)](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Übersicht zur Sicherheit von AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Zugehörige Videos:** 
+  [Running high-security workloads on Amazon EKS (Ausführen von Workloads mit hoher Sicherheit auf Amazon EKS)](https://youtu.be/OWRWDXszR-4) 
+  [Securing Serverless and Container Services](https://youtu.be/kmSdyN9qiXY) 
+  [Bewährte Sicherheitsmethoden für den Amazon EC2-Instance-Metadatenservice](https://youtu.be/2B5bhZzayjI) 

 **Zugehörige Beispiele:** 
+  [Übung: Automatisierte Bereitstellung der Web Application Firewall](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)