Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Individuazione e allineamento della sicurezza
Quando si mobilita un progetto di migrazione, il primo dominio per il flusso di lavoro di sicurezza e conformità è l'individuazione e l'allineamento della sicurezza. Questo dominio ha lo scopo di aiutare l'organizzazione a raggiungere i seguenti obiettivi:
-
Addestra il flusso di lavoro di sicurezza e conformità sui servizi AWS di sicurezza, sulle funzionalità e sul rispetto della conformità
-
Scopri i tuoi requisiti di sicurezza e conformità e le pratiche correnti. Considera questi requisiti dal punto di vista dell'infrastruttura e delle operazioni, tra cui:
-
Sfide e fattori di sicurezza per lo stato finale di destinazione
-
Set di competenze del team di sicurezza cloud
-
Politiche, configurazioni, controlli e barriere di conformità e rischi di sicurezza
-
Propensione al rischio di sicurezza e criteri di base
-
Strumenti di sicurezza esistenti e potenziali
-
Workshop di un giorno di immersione
Per raggiungere questi obiettivi, utilizza giornate di immersione nella sicurezza e nella conformità. Le giornate di immersione sono workshop che coprono una serie di argomenti relativi alla sicurezza, come:
I workshop di immersion day aiutano a stabilire una base di conoscenze per il team di sicurezza. Li forma sui servizi di AWS sicurezza e sulle migliori pratiche di sicurezza e conformità. AWS Solution Architect, AWS Professional Services e AWS Partner possono aiutarvi a realizzare questi workshop interattivi. Utilizzano presentazioni standard, laboratori AWS e attività sulla lavagna per preparare i team.
Workshop Discovery
Dopo i workshop di una giornata di immersione, svolgerai diversi workshop approfonditi sulla sicurezza e la conformità. Questi aiutano i team a scoprire gli attuali requisiti di sicurezza, rischio e conformità (SRC) dell'infrastruttura, delle applicazioni e delle operazioni. Questi requisiti vengono analizzati attraverso le seguenti prospettive: persone, processi e tecnologia. Di seguito sono elencate le aree di scoperta per ogni prospettiva.
Prospettiva delle persone
-
Struttura organizzativa: comprendi la struttura e le responsabilità attuali del flusso di lavoro in materia di sicurezza e conformità.
-
Capacità e competenze: possiedi conoscenze e competenze pratiche per e per le funzionalità di sicurezza Servizi AWS e conformità del cloud. Ciò include scoperta, pianificazione, implementazione e operazioni.
-
Matrice RACI (responsabile, responsabile, consultata, informata): definisce i ruoli e le responsabilità per le attuali attività di sicurezza e conformità all'interno dell'organizzazione.
-
Cultura: comprendere l'attuale cultura della sicurezza e della conformità. Dai priorità alla sicurezza e alla conformità nelle fasi di costruzione, progettazione, implementazione e funzionamento. Introduci Development Security Operations (DevSecOps) nella cultura della sicurezza e della conformità del cloud.
Prospettiva del processo
-
Pratiche: definisci e documenta gli attuali processi di sicurezza e conformità per costruire, progettare, implementare e gestire. I processi includono:
-
Accesso e gestione delle identità
-
Controlli e risposta al rilevamento degli incidenti
-
Sicurezza dell'infrastruttura e della rete
-
Protezione dei dati
-
Conformità
-
Continuità e ripristino aziendali
-
-
Documentazione di implementazione: politiche di sicurezza e conformità dei documenti, configurazioni di controllo, documentazione sugli strumenti e documentazione sull'architettura. Questi documenti sono necessari per coprire la sicurezza e la conformità dell'infrastruttura, della rete, delle applicazioni, dei database e delle aree di implementazione.
-
Documentazione sui rischi: crea una documentazione sui rischi per la sicurezza delle informazioni che delinea la propensione al rischio e la soglia.
-
Convalide: crea requisiti di convalida e audit di sicurezza interni ed esterni.
-
Runbook: sviluppa runbook operativi che coprano gli attuali processi standard di implementazione e governance per la sicurezza e la conformità.
Prospettiva tecnologica
-
Servizi e strumenti: utilizzate gli strumenti per convalidare il vostro livello di sicurezza e conformità e per applicare e governare l'attuale panorama IT. Stabilisci strumenti per le seguenti categorie:
-
Accesso e gestione delle identità
-
Controlli e risposta al rilevamento degli incidenti
-
Sicurezza dell'infrastruttura e della rete
-
Protezione dei dati
-
Conformità
-
Continuità e ripristino aziendali
-
Durante il workshop AWS sulla scoperta della sicurezza, si utilizzano modelli di raccolta dati e questionari standardizzati per raccogliere i dati. Negli scenari in cui non è possibile fornire le informazioni a causa della mancanza di chiarezza dei dati o dell'obsolescenza dei dati, è possibile utilizzare uno strumento di rilevamento della migrazione per raccogliere informazioni sulla sicurezza a livello di applicazioni e infrastrutture. Per un elenco degli strumenti di discovery che è possibile utilizzare, consulta Discovery, Planning and Recommendation Migration Tools su Prescriptive Guidance
Durante la valutazione iniziale della sicurezza, consigliamo vivamente di iniziare con la modellazione delle minacce. Ciò consente di identificare le possibili minacce e le misure esistenti in atto. Potrebbero esserci anche requisiti predefiniti e documentati per la sicurezza, la conformità e il rischio. Per ulteriori informazioni, consulta il workshop sulla modellazione delle minacce per i costruttori
