Árvore de decisão para adotar um serviço AWS de segurança - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Árvore de decisão para adotar um serviço AWS de segurança

A imagem a seguir mostra uma árvore decisória que você pode usar para avaliar se sua organização deve adotar um serviço AWS de segurança. A árvore decisória é dividida em duas seções: contexto da empresa e avaliação do serviço de AWS segurança. A primeira seção, Contexto da empresa, foi projetada para avaliar seu controle ou solução atual, se existir. Você prossegue para a segunda seção, avaliação do serviço de AWS segurança, se não tiver uma solução atual ou se seu controle ou solução atual não atender aos seus requisitos comerciais ou técnicos. Na seção de avaliação do serviço de AWS segurança, você determina se AWS service (Serviço da AWS) ele atende a esses requisitos.

Árvore de decisão para adotar um serviço AWS de segurança

Contexto da empresa para avaliar uma solução ou controle de segurança atual

Nesta seção, você avalia seu controle ou solução atual para garantir que ele atenda aos requisitos comerciais e técnicos da sua organização. Se você não tiver um controle ou uma solução em vigor, avalie o serviço de AWS segurança e vá diretamente para a seção de avaliação do serviço de segurança da AWS.

1.1 Um mandato de conformidade, segurança ou privacidade não é cumprido?

As organizações estão sob o escopo das leis e regulamentos relacionados à segurança e privacidade de dados. Qualquer violação desses mandatos pode resultar em consequências graves. Se sua empresa não conseguir atender a um requisito de conformidade, segurança ou privacidade, você deve avaliar o serviço AWS de segurança.

1.2 Você tem um alto risco que não foi resolvido?

As organizações precisam identificar e gerenciar riscos de segurança significativos em seu ambiente. Um alto risco pode envolver possíveis violações de dados, vulnerabilidades do sistema, interrupções operacionais ou outras preocupações críticas de segurança. Se sua solução atual (ou a ausência dela) não estiver mitigando adequadamente esses altos riscos, continue com a avaliação do serviço de segurança. AWS

1.3 Você tem uma solução manual ou propensa a erros?

Soluções que exigem etapas manuais ou interação humana são mais propensas a erros. Inconsistência, baixa confiabilidade de dados, ativos incompatíveis e falta de escalabilidade são comuns nesses cenários. Os controles automatizados são fundamentalmente importantes para sistemas de TI e cargas de trabalho. Se sua solução atual não oferecer suporte à automação total, considere avaliar o serviço AWS de segurança.

1.4 Você enfrenta problemas de gerenciamento, agilidade ou escalabilidade?

É importante mapear qualquer problema relacionado ao gerenciamento. A seguir estão alguns exemplos: Falta de compatibilidade no gerenciamento de diferentes ativos, a solução não cobre todos os dispositivos, erros e interrupções durante as atualizações e impacto negativo no desempenho da produção. A solução deve oferecer agilidade para que as equipes possam inovar a partir de uma forte postura de segurança. Você deve oferecer suporte à escalabilidade para alcançar o crescimento exponencial dos negócios. Se você tiver algum problema de gerenciamento, disponibilidade ou escalabilidade, avalie o serviço AWS de segurança.

1.5 Você tem um alto custo total de propriedade?

Avalie o custo total de propriedade (TCO) de sua solução de segurança atual comparando os custos com os benchmarks do setor e as métricas internas. Geralmente, as organizações investem de 6 a 14% de seu orçamento de TI em segurança cibernética, e 10% é a média. Considere fatores como licenciamento, implementação, manutenção, suporte e custos operacionais para proteger seus ativos. Você pode incluir suas ferramentas internas que cobrem o mesmo número de ativos a serem protegidos. Um orçamento de segurança desequilibrado para ferramentas também pode indicar um alto TCO, como se 60% do orçamento fosse direcionado para uma única ferramenta. Se seu TCO for maior do que esses benchmarks, continue avaliando o AWS serviço de segurança.

AWS avaliação do serviço de segurança

Uma prova de tecnologia (POT) é semelhante a uma prova de conceito. O objetivo de um POT é determinar se uma solução potencial para um problema técnico é viável. Por exemplo, você pode usar um POT para provar que uma configuração específica pode alcançar um determinado resultado. Nesta seção, você usa um POT para avaliar e demonstrar se um determinado serviço AWS de segurança atende aos seus requisitos comerciais e técnicos.

A Arquitetura de Referência de AWS Segurança (AWS SRA) fornece orientação prescritiva para implantar o conjunto completo de serviços de AWS segurança em um ambiente com várias contas. Essa arquitetura pode ajudá-lo a planejar e executar sua avaliação de POT.

Este guia de decisão se aplica a todos os serviços AWS de segurança, incluindo as ofertas mais recentes. Para obter uma up-to-date lista dos serviços e das melhores práticas atuais, consulte Nuvem AWS Segurança.

2.1 O serviço AWS de segurança atende às suas exigências de conformidade, segurança ou privacidade?

O serviço de AWS segurança deve atender a todas as exigências de conformidade, segurança e privacidade que a solução atual não atenda. Você pode encontrar AWS certificações e relatórios de segurança e conformidade em AWS Artifact. Além disso, você pode usar a AWS service (Serviço da AWS) documentação para validação da cobertura.

2.2 O serviço AWS de segurança ajuda a reduzir os riscos?

O gerenciamento de riscos é um fator essencial para ajudar a proteger as empresas contra muitas ameaças. A decisão de adotar um serviço pode estar diretamente relacionada à mitigação de um ou mais riscos elevados em sua organização. O serviço de AWS segurança deve reduzir o risco a um nível aceitável, com base no seu apetite pelo risco e no contexto comercial.

2.3 O POT mostra a eficácia do serviço de segurança?

A eficácia do serviço de AWS segurança deve ser demonstrada por meio de um POT, de acordo com diferentes métricas de cada serviço de segurança. Por exemplo, o POT pode validar que o serviço pode detectar e responder rapidamente às ameaças à segurança por meio de um algoritmo de inteligência contra ameaças. Você pode avaliar o sucesso confirmando que as ameaças foram detectadas em minutos e que as notificações e correções automatizadas foram executadas com êxito. Para um serviço de gerenciamento de vulnerabilidades, você pode avaliar a eficácia com base no seguinte:

  • Quantas vulnerabilidades foram detectadas?

  • Qual é a taxa de sucesso da aplicação de patches e atualizações?

  • Para proteção da web, os ataques de cross-site scripting (XSS) e de injeção de SQL realizados pela equipe de segurança ofensiva (também conhecida como equipe vermelha) foram imediatamente bloqueados?

AWS Serviços profissionais e AWS parceiros podem ajudá-lo nessa avaliação do POT.

2.4 O TCO é menor do que o controle ou solução atual?

O menor TCO pode ajudá-lo a otimizar os custos em sua organização. Algumas métricas comuns usadas nessas comparações são: custos de aquisição e implementação, despesas fixas e variáveis, custos operacionais, custos de manutenção e suporte, custos de expansão e confiabilidade e custos de treinamento. Há outras medições e comparações de custos que você pode realizar com base em seu caso de uso específico. Eles AWS Calculadora de Preçospodem ajudá-lo a estimar os custos de Serviços da AWS. Além disso, você pode usar produtos nas trilhas gratuitas Nível gratuito da AWS e para avaliar muitos Serviços da AWS. Para obter mais informações, consulte Testes Nuvem AWS de segurança gratuitos.

2.5 Decisão de compensação

A decisão de compensação exige o equilíbrio de vários fatores, especialmente considerações sobre a eficácia do serviço e o TCO. Quando cálculos exatos ou determinações claras não forem possíveis, avalie o equilíbrio geral de benefícios e limitações.

Um equilíbrio positivo pode surgir mesmo quando os fatores parecem conflitantes. Por exemplo, um serviço pode aumentar os custos, mas oferecer maior escalabilidade. Isso representa um saldo positivo em que a maior eficácia justifica os custos adicionais. Por outro lado, uma redução nos recursos pode não ser aceitável, mesmo que um serviço ofereça uma economia significativa de custos.

Você deve equilibrar todas as informações disponíveis para determinar um resultado geral positivo ou negativo. Com base nessa análise, você pode tomar sua decisão de troca.