Pohon keputusan untuk mengadopsi layanan AWS keamanan - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pohon keputusan untuk mengadopsi layanan AWS keamanan

Gambar berikut menunjukkan pohon keputusan yang dapat Anda gunakan untuk mengevaluasi apakah organisasi Anda harus mengadopsi layanan AWS keamanan. Pohon keputusan dibagi menjadi dua bagian: konteks perusahaan dan evaluasi layanan AWS keamanan. Bagian pertama, konteks Perusahaan, dirancang untuk mengevaluasi kontrol atau solusi Anda saat ini, jika ada. Anda melanjutkan ke bagian kedua, evaluasi layanan AWS keamanan, jika Anda tidak memiliki solusi saat ini atau jika kontrol atau solusi Anda saat ini tidak memenuhi persyaratan bisnis atau teknis Anda. Di bagian evaluasi layanan AWS keamanan, Anda menentukan apakah Layanan AWS memenuhi persyaratan tersebut.

Pohon keputusan untuk mengadopsi layanan AWS keamanan

Konteks perusahaan untuk mengevaluasi kontrol atau solusi keamanan saat ini

Di bagian ini, Anda mengevaluasi kontrol atau solusi Anda saat ini untuk memastikan bahwa itu memenuhi persyaratan bisnis dan teknis organisasi Anda. Jika Anda tidak memiliki kontrol atau solusi, Anda harus mengevaluasi layanan AWS keamanan dan langsung masuk ke bagian evaluasi layanan keamanan AWS.

1.1 Apakah mandat kepatuhan, keamanan, atau privasi tidak dihadiri?

Organizations berada di bawah lingkup undang-undang dan peraturan mengenai keamanan dan privasi data. Setiap pelanggaran mandat ini dapat mengakibatkan konsekuensi yang parah. Jika perusahaan Anda tidak dapat memenuhi persyaratan kepatuhan, keamanan, atau privasi, Anda harus mengevaluasi layanan AWS keamanan.

1.2 Apakah Anda memiliki risiko tinggi yang tidak ditangani?

Organizations perlu mengidentifikasi dan mengelola risiko keamanan yang signifikan di lingkungan mereka. Risiko tinggi dapat melibatkan potensi pelanggaran data, kerentanan sistem, gangguan operasional, atau masalah keamanan kritis lainnya. Jika solusi Anda saat ini (atau tidak adanya) tidak cukup mengurangi risiko tinggi ini, lanjutkan dengan mengevaluasi layanan keamanan. AWS

1.3 Apakah Anda memiliki solusi manual atau rawan kesalahan?

Solusi yang membutuhkan langkah manual atau interaksi manusia lebih rawan kesalahan. Ketidakkonsistenan, keandalan data yang rendah, aset yang tidak patuh, dan kurangnya skalabilitas sering terjadi dalam skenario ini. Kontrol otomatis pada dasarnya penting untuk sistem TI dan beban kerja. Jika solusi Anda saat ini tidak mendukung otomatisasi penuh, pertimbangkan untuk mengevaluasi layanan AWS keamanan.

1.4 Apakah Anda menghadapi masalah manajemen, kelincahan, atau skalabilitas?

Penting untuk memetakan masalah apa pun yang terkait dengan manajemen. Berikut ini adalah beberapa contoh: Kurangnya kompatibilitas mengelola aset yang berbeda, solusinya tidak mencakup semua perangkat, kesalahan dan gangguan selama pembaruan, dan dampak kinerja negatif dalam produksi. Solusinya harus menawarkan kelincahan sehingga tim dapat berinovasi dari postur keamanan yang kuat. Anda harus mendukung skalabilitas untuk mencapai pertumbuhan bisnis eksponensial. Jika Anda memiliki masalah manajemen, ketersediaan, atau penskalaan, Anda harus mengevaluasi layanan AWS keamanan.

1.5 Apakah Anda memiliki total biaya kepemilikan yang tinggi?

Evaluasi total biaya kepemilikan (TCO) untuk solusi keamanan Anda saat ini dengan membandingkan biaya terhadap tolok ukur industri dan metrik internal. Umumnya, organisasi menginvestasikan 6-14% dari anggaran TI mereka dalam keamanan siber, dan 10% adalah rata-rata. Pertimbangkan faktor-faktor seperti perizinan, implementasi, pemeliharaan, dukungan, dan biaya operasional untuk melindungi aset Anda. Anda dapat menyertakan alat internal Anda yang mencakup jumlah aset yang sama untuk dilindungi. Anggaran keamanan yang tidak seimbang untuk alat juga dapat menunjukkan TCO yang tinggi, seperti jika 60% dari anggaran diarahkan ke satu alat. Jika TCO Anda lebih tinggi dari tolok ukur ini, lanjutkan dengan mengevaluasi layanan keamanan. AWS

AWS evaluasi layanan keamanan

Bukti teknologi (POT) mirip dengan bukti konsep. Tujuan dari POT adalah untuk menentukan apakah solusi potensial untuk masalah teknis layak. Misalnya, Anda mungkin menggunakan POT untuk membuktikan bahwa konfigurasi tertentu dapat mencapai hasil tertentu. Di bagian ini, Anda menggunakan POT untuk mengevaluasi dan menunjukkan apakah layanan AWS keamanan tertentu memenuhi persyaratan bisnis dan teknis Anda.

AWS Security Reference Architecture (AWS SRA) memberikan panduan preskriptif untuk menyebarkan layanan AWS keamanan lengkap di lingkungan multi-akun. Arsitektur ini dapat membantu Anda merencanakan dan melaksanakan evaluasi POT Anda.

Panduan keputusan ini berlaku untuk semua layanan AWS keamanan, termasuk penawaran terbaru. Untuk up-to-date daftar layanan dan praktik terbaik saat ini, lihat AWS Cloud Keamanan.

2.1 Apakah layanan AWS keamanan memenuhi mandat kepatuhan, keamanan, atau privasi Anda?

Layanan AWS keamanan harus menangani mandat kepatuhan, keamanan, dan privasi apa pun yang tidak ditangani oleh solusi saat ini. Anda dapat menemukan AWS sertifikasi dan laporan untuk keamanan dan kepatuhan di AWS Artifact. Selain itu, Anda dapat menggunakan Layanan AWS dokumentasi untuk validasi cakupan.

2.2 Apakah layanan AWS keamanan membantu mengurangi risiko?

Manajemen risiko adalah faktor kunci untuk membantu melindungi perusahaan dari banyak ancaman. Keputusan untuk mengadopsi layanan mungkin terkait langsung dengan mengurangi satu atau lebih risiko tinggi di organisasi Anda. Layanan AWS keamanan harus mengurangi risiko ke tingkat yang dapat diterima, berdasarkan selera risiko dan konteks bisnis Anda.

2.3 Apakah POT menunjukkan efektivitas layanan keamanan?

Efektivitas layanan AWS keamanan harus ditunjukkan melalui POT, sesuai dengan metrik yang berbeda dari setiap layanan keamanan. Misalnya, POT mungkin memvalidasi bahwa layanan dapat mendeteksi dan merespons ancaman keamanan dengan cepat melalui algoritma intelijen ancaman. Anda dapat mengevaluasi keberhasilan dengan mengonfirmasi bahwa ancaman yang terdeteksi dalam hitungan menit dan pemberitahuan dan remediasi otomatis berjalan dengan sukses. Untuk layanan manajemen kerentanan, Anda dapat mengevaluasi efektivitas berdasarkan hal berikut:

  • Berapa banyak kerentanan yang terdeteksi?

  • Berapa tingkat keberhasilan menerapkan tambalan dan pembaruan?

  • Untuk perlindungan web, apakah cross-site scripting (XSS) dan serangan SQL-injection yang dilakukan oleh tim keamanan ofensif (juga dikenal sebagai tim merah) segera diblokir?

AWS Layanan dan AWS Mitra Profesional dapat mendukung Anda dalam evaluasi POT ini.

2.4 Apakah TCO lebih rendah dari kontrol atau solusi saat ini?

TCO yang lebih rendah dapat membantu Anda mengoptimalkan biaya di organisasi Anda. Beberapa metrik umum yang digunakan dalam perbandingan ini adalah: biaya akuisisi dan implementasi, biaya tetap dan variabel, biaya operasi, biaya pemeliharaan dan dukungan, biaya ekspansi dan keandalan, dan biaya pelatihan. Ada pengukuran dan perbandingan biaya lain yang dapat Anda lakukan berdasarkan kasus penggunaan spesifik Anda. Ini AWS Kalkulator Hargadapat membantu Anda memperkirakan biaya untuk Layanan AWS. Selain itu, Anda dapat menggunakan produk di jalur bebas AWS Tingkat Gratis dan gratis untuk mengevaluasi banyak Layanan AWS. Untuk informasi selengkapnya, lihat Uji Coba AWS Cloud Keamanan Gratis.

2.5 Keputusan trade-off

Keputusan trade-off membutuhkan penyeimbangan beberapa faktor, terutama efektivitas layanan dan pertimbangan TCO. Ketika perhitungan yang tepat atau penentuan yang jelas tidak memungkinkan, evaluasi keseimbangan manfaat dan batasan secara keseluruhan.

Keseimbangan positif mungkin muncul bahkan ketika faktor-faktor tampaknya bertentangan. Misalnya, layanan dapat meningkatkan biaya tetapi memberikan peningkatan skalabilitas. Ini merupakan keseimbangan positif di mana peningkatan efektivitas membenarkan biaya tambahan. Sebaliknya, penurunan kemampuan mungkin tidak dapat diterima bahkan jika layanan menawarkan penghematan biaya yang signifikan.

Anda harus menyeimbangkan semua informasi yang tersedia untuk menentukan hasil positif atau negatif secara keseluruhan. Berdasarkan analisis ini, Anda dapat membuat keputusan trade-off Anda.