主动控制

主动性控制是旨在防止创建不合规资源的安全控制。此类控制可减少响应性和侦测性控制处理的安全事件数量。此类控制可在部署之前确保部署的资源合规，因此可消除需要响应或补救措施的检测事件。

例如，您可以使用侦测性控制来通知您 Amazon Simple Storage Service（Amazon S3）存储桶是否可以公开访问。您还可以使用响应性控制可以对其进行补救。尽管您已有这两种控制，但您可以通过添加主动控制来提供额外的保护层。通过主动控制 AWS CloudFormation，可以防止创建任何启用了公共访问的 S3 存储桶的更新。威胁行为者仍然可以绕过此控制并在外部部署或修改资源 CloudFormation。在这种情况下，侦测性和响应性控制将补救安全事件。

目标

• 主动控制可帮助您改进安全操作流程和质量流程。

• 主动控制可帮助您遵守安全政策、标准以及承担监管或合规义务。

• 主动控制可防止创建不合规的资源。

• 主动控制可减少安全调查发现的数量。

• 主动控制可提供额外的保护层，以防威胁行为者绕过预防性控制并试图部署不合规资源。

• 与预防性、侦测性和响应性控制相结合，主动控制可以帮助您应对潜在的安全事件。

过程

主动控制是预防性控制的补充措施。主动控制可降低组织的安全风险，并强制部署合规资源。此类控制会在创建或更新资源之前评估资源合规性。主动控制通常通过使用 CloudFormation 挂钩来实现。如果资源未通过主动控制验证，则可以选择使资源部署失败或显示警告消息。以下是建立主动控制的一些提示和最佳实践：

• 确保主动控制与贵组织的合规要求相匹配。

• 确保主动控制遵循相关服务的安全最佳实践。

• 使用 CloudFormation StackSets 或其他解决方案跨多个 AWS 区域 或账户部署主动控制。

• 确保与主动控制相关的警告或失败消息清晰明了。这可以帮助开发人员了解资源未通过评估的原因。

• 构建新的主动控制时，请从观察模式开始。这意味着您可以发送警告消息，而不是使资源部署失败。这可以帮助您了解主动控制的影响。

• 启用在 Amazon CloudWatch 日志中登录以进行主动控制。

• 如果您需要监控特定主动控制的调用，请使用 Amazon EventBridge 规则并订阅该 CloudFormation挂钩的调用事件。

使用案例

• 防止部署不合规资源

• 满足合规性要求

• 通过在部署前强制执行安全问题补救措施，从而提高代码质量

• 减少与部署后补救安全问题相关的运营停机时间

Technology

CloudFormation 钩子

AWS CloudFormation帮助您设置 AWS 资源，快速一致地配置资源，并在资源的整个生命周期中跨地区对其 AWS 账户 进行管理。CloudFormation 挂钩会在部署 CloudFormation 资源之前主动评估其配置。如果发现不合规资源，则返回失败状态。根据挂钩失败模式， CloudFormation可能会使操作失败或显示警告，允许用户继续部署。您可以使用现成的钩子，也可以开发自己的钩子。

AWS Control Tower

AWS Control Tower按照规范性最佳实践，帮助您设置和管理 AWS 多账户环境。 AWS Control Tower 提供预配置的主动控制，您可以在 landing zone 中启用这些控件。如果您的 landing zone 是使用设置的 AWS Control Tower，则可以使用这些可选的主动控制作为组织的起点。您可以根据需要在中 CloudFormation 构建其他自定义的主动控制措施。

业务成果

减少人工和错误

主动控制可减少人为错误的风险，人为错误往往会导致部署不合规的资源。主动控制还可以减少开发周期后期的人力投入，因为这种控制能让开发人员在部署之前考虑资源安全。这将左移的做法应用于构建安全资源，因为这能在开发生命周期的早期强制要求合规性。

降低成本

部署后修复安全问题通常需要高昂的成本。在开发周期的早期发现和修复问题可以降低开发成本。

节省时间

主动控制可以防止部署不合规资源，因此可以减少分类和修复安全问题所需的时间。它们还包括安全调查发现的数量，侦测性控制会在开发周期的后期发现这些调查发现。

监管合规

如果您的组织需要遵守内部或行业法规，主动控制可以帮助您保持合规，并避免受到违规处罚。

降低风险

主动控制可帮助开发人员部署合规且以更安全的方式构建的资源，因此主动控制可以降低组织的安全风险。