本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全发现和调整
在移动迁移项目时,安全与合规工作流的第一个领域是安全发现和协调。此域名旨在帮助您的组织实现以下目标:
-
对安全与合规工作流程进行培训,了解 AWS 安全服务、功能和合规遵守情况
-
了解您的安全与合规要求以及当前实践。从基础架构和运营的角度考虑这些要求,包括:
-
目标最终状态的安全挑战和驱动因素
-
云安全团队的技能组合
-
安全风险和合规政策、配置、控制和护栏
-
安全风险偏好和基准
-
现有和潜在的安全工具
-
沉浸式日研讨会
要实现这些目标,请利用安全与合规沉浸式日活动。沉浸式日是涵盖一系列安全相关主题的研讨会,例如:
-
Well-Architecte AWS d 框架@@ 的安全支柱
沉浸式日研讨会有助于为您的安全团队建立知识基准。它为他们提供有关 AWS 安全服务以及安全与合规最佳实践的培训。 AWS 解决方案架构师、 AWS 专业服务和 AWS 合作伙伴可以帮助您举办这些交互式研讨会。他们使用标准演示文稿、AWS 实验室和白板活动来帮助您的团队做好准备。
探索研讨会
沉浸式日研讨会结束后,您将举办多个深入的安全和合规性探索研讨会。它们可以帮助您的团队发现基础架构、应用程序和运营的当前安全、风险和合规性 (SRC) 要求。您可以从以下角度分析这些需求:人员、流程和技术。以下是每种视角的探索领域。
人员角度
-
组织结构-了解当前的安全与合规工作流程结构和职责。
-
能力和技能 — 具备云安全和合规能力的 AWS 服务 实践知识和技能。这包括发现、规划、实施和运营。
-
负责、负责、咨询、知情 (RACI) 矩阵 — 定义组织内当前安全和合规活动的角色和责任。
-
文化-了解当前的安全和合规文化。在构建、设计、实施和运营阶段优先考虑安全性和合规性。将开发安全运营 (DevSecOps) 引入云安全与合规文化。
流程视角
-
实践-定义和记录当前用于构建、设计、实施和运营的安全和合规流程。流程包括:
-
身份访问和管理
-
事件探测控制和响应
-
基础设施和网络安全
-
数据保护
-
合规
-
业务连续性和恢复
-
-
实施文档 — 记录安全与合规性政策、控制配置、工具文档和架构文档。这些文档是涵盖基础架构、网络、应用程序、数据库和部署区域的安全性和合规性所必需的。
-
风险文档-创建概述风险偏好和阈值的信息安全风险文档。
-
验证-创建内部和外部安全验证和审计要求。
-
运行手册 — 制定运营手册,涵盖当前的安全和合规标准实施和管理流程。
技术视角
-
服务和工具-使用工具来验证您的安全与合规态势,并强制执行和管理当前 IT 格局。为以下类别建立工具:
-
身份访问和管理
-
事件探测控制和响应
-
基础设施和网络安全
-
数据保护
-
合规
-
业务连续性和恢复
-
在 AWS 安全发现研讨会期间,您将使用标准化的数据收集模板和问卷来收集数据。如果由于数据不清晰或数据过时而无法提供信息,则可以使用迁移发现工具来收集应用程序和基础架构级别的安全信息。有关可以使用的发现工具列表,请参阅 AWS 规范性指导中的发现、规划和建议迁移工具
在初始安全评估期间,我们强烈建议您从威胁建模开始。这可以帮助您识别可能的威胁和现有的措施。在安全、合规和风险方面,可能还会有预定义和记录在案的要求。有关更多信息,请参阅建筑商威胁建模研讨会
