Ateliers d'immersion Ateliers de découverte

Découverte et alignement en matière de sécurité

Lors de la mobilisation d'un projet de migration, le premier domaine du flux de travail relatif à la sécurité et à la conformité est la découverte et l'alignement en matière de sécurité. Ce domaine est destiné à aider votre organisation à atteindre les objectifs suivants :

Formez le flux de travail de sécurité et de conformité aux services de AWS sécurité, aux capacités et au respect de la conformité
Découvrez vos exigences en matière de sécurité et de conformité ainsi que les pratiques actuelles. Tenez compte de ces exigences du point de vue de l'infrastructure et des opérations, notamment :
- Défis de sécurité et facteurs déterminants pour l'état final cible
- Compétences de l'équipe chargée de la sécurité du cloud
- Politiques, configurations, contrôles et garde-fous en matière de sécurité et de conformité
- Aptitude au risque de sécurité et base de référence
- Outils de sécurité existants et futurs

Ateliers d'immersion

Pour vous aligner sur ces objectifs, utilisez des journées d'immersion en matière de sécurité et de conformité. Les journées d'immersion sont des ateliers qui abordent divers sujets liés à la sécurité, tels que :

AWS modèle de responsabilité partagée
AWS services de sécurité
AWS Architecture de référence de sécurité (AWS SRA)
AWS conformité
Pilier de sécurité du AWS Well-Architected Framework

Les ateliers d'une journée d'immersion aident à établir une base de connaissances pour votre équipe de sécurité. Il les forme aux services de AWS sécurité et aux meilleures pratiques en matière de sécurité et de conformité. AWS Les architectes de solutions, les services AWS professionnels et AWS les partenaires peuvent vous aider à organiser ces ateliers interactifs. Ils utilisent des présentations standard, des laboratoires AWS et des activités sur tableau blanc pour aider à préparer vos équipes.

Ateliers de découverte

Après les ateliers d'une journée d'immersion, vous organisez plusieurs ateliers approfondis de découverte de la sécurité et de la conformité. Ils aident vos équipes à découvrir les exigences actuelles en matière de sécurité, de risque et de conformité (SRC) de l'infrastructure, des applications et des opérations. Vous analysez ces exigences du point de vue suivant : les personnes, les processus et les technologies. Voici les domaines à découvrir pour chaque point de vue.

Point de vue des personnes

Structure organisationnelle — Comprenez la structure et les responsabilités actuelles du flux de travail en matière de sécurité et de conformité.
Capacités et compétences : possédez des connaissances et des compétences pratiques pour et pour les fonctionnalités de sécurité Services AWS et de conformité du cloud. Cela inclut la découverte, la planification, la mise en œuvre et les opérations.
Matrice RACI (responsable, responsable, consulté, informé) — Définissez les rôles et les responsabilités relatifs aux activités de sécurité et de conformité actuelles au sein de l'organisation.
Culture — Comprenez la culture actuelle en matière de sécurité et de conformité. Priorisez la sécurité et la conformité dans le cadre des phases de construction, de conception, de mise en œuvre et d'exploitation. Introduisez les opérations de sécurité du développement (DevSecOps) dans la culture de sécurité et de conformité du cloud.

Perspective du processus

Pratiques — Définissez et documentez les processus de sécurité et de conformité actuels pour créer, concevoir, mettre en œuvre et exploiter. Les processus incluent :
- Accès et gestion des identités
- Détection, contrôles et réponse aux incidents
- Sécurité de l'infrastructure et du réseau
- Protection des données
- Conformité d'
- Continuité et reprise des activités
Documentation de mise en œuvre — Documentez les politiques de sécurité et de conformité, les configurations de contrôle, la documentation des outils et la documentation de l'architecture. Ces documents sont nécessaires pour couvrir la sécurité et la conformité de l'infrastructure, du réseau, des applications, des bases de données et des zones de déploiement.
Documentation sur les risques : créez une documentation sur les risques liés à la sécurité des informations qui décrit l'appétit pour le risque et le seuil de risque.
Validations — Créez des exigences de validation et d'audit de sécurité internes et externes.
Runbooks — Développez des runbooks opérationnels qui couvrent les processus actuels et standard de mise en œuvre et de gouvernance en matière de sécurité et de conformité.

Perspective technologique

Services et outils : utilisez des outils pour valider votre posture en matière de sécurité et de conformité et pour appliquer et gouverner le paysage informatique actuel. Établissez un outillage pour les catégories suivantes :
- Accès et gestion des identités
- Détection, contrôles et réponse aux incidents
- Sécurité de l'infrastructure et du réseau
- Protection des données
- Conformité d'
- Continuité et reprise des activités

Au cours de l'atelier AWS de découverte de la sécurité, vous utilisez des modèles de collecte de données standardisés et des questionnaires pour collecter des données. Dans les scénarios où vous n'êtes pas en mesure de fournir les informations en raison d'un manque de clarté des données ou de données obsolètes, vous pouvez utiliser un outil de découverte des migrations pour collecter des informations de sécurité au niveau de l'application et de l'infrastructure. Pour obtenir la liste des outils de découverte que vous pouvez utiliser, consultez la section Outils de migration de découverte, de planification et de recommandation sur AWS Prescriptive Guidance. La liste fournit des détails sur les fonctionnalités de découverte et l'utilisation de chaque outil. Il compare également les outils pour vous aider à choisir celui qui répond le mieux aux exigences et aux contraintes de votre environnement informatique.

Lors de l'évaluation initiale de la sécurité, nous vous recommandons vivement de commencer par la modélisation des menaces. Cela vous aide à identifier les menaces possibles et les mesures existantes qui sont en place. Il peut également y avoir des exigences prédéfinies et documentées en matière de sécurité, de conformité et de risque. Pour plus d'informations, consultez l'atelier sur la modélisation des menaces pour les constructeurs (AWS formation) et comment aborder la modélisation des menaces (article de AWS blog). Cette approche vous aide à reconsidérer vos stratégies de sécurité et de conformité pour le déploiement, la mise en œuvre et la gouvernance dans le AWS Cloud.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Domaines Workstream

Cartographie du framework