安全实施、集成和验证 - AWS 规范性指导
实施集成验证

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

安全实施、集成和验证

在确定了您的安全、风险和合规要求之后,下一个领域是安全实施、集成和验证。根据确定的要求,选择适当的安全控制措施和措施以有效降低风险。这可能包括加密、访问控制、入侵检测系统或防火墙。将入侵检测和防御系统、端点保护和身份管理等安全解决方案集成到现有的 IT 基础架构中,以提供全面的安全保护。定期进行安全评估,包括漏洞扫描、渗透测试和代码审查,以验证安全控制的有效性并找出弱点或差距。通过专注于安全实施、集成和验证,组织可以加强其安全态势,降低安全漏洞的可能性,并证明其符合监管要求和行业标准。

实施

首先,更新您当前的安全、风险和合规阈值或偏好的文档。这使您能够在云中实施计划中的安全与合规性要求、控制措施、策略和工具。只有在您已经定义了现有的风险登记册和偏好时,才需要执行此步骤,这些风险登记册和偏好将在发现研讨会上确定。

接下来,在云端实施计划中的安全与合规性要求、控制措施、策略和工具。我们建议您按以下顺序实现它们:基础架构 AWS 服务、操作系统,然后是应用程序或数据库。使用下表中的信息,确保您已经解决了所有必需的安全性和合规性领域。

领域

安全和合规性要求

基础设施

  • AWS 账户

  • 登录区

    • 预防性控制机制

    • 侦测性控制

  • 网络分段

  • 访问控制

  • 加密

  • 记录、监控和警报

AWS 服务

  • AWS 服务 配置

  • 实例

    • 存储

    • 网络

  • 访问控制

  • 加密

  • 更新和补丁

  • 记录、监控和警报

操作系统

  • 防病毒

  • 恶意软件和蠕虫防护

  • 配置

  • 网络保护

  • 访问控制

  • 加密

  • 更新和补丁

  • 记录、监控和警报

应用程序或数据库

  • 配置

  • 代码和架构

  • 访问控制

  • 加密

  • 更新和补丁

  • 记录、监控和警报

集成

安全实施通常需要与以下内容集成:

  • 联网 — 内部和外部的联网 AWS Cloud

  • 混合 IT 格局 — 除本地 AWS Cloud、公共云、私有云和主机托管之外的 IT 环境

  • 外部软件或服务 — 由独立软件供应商 (ISVs) 管理且不在您的环境中托管的软件和服务。

  • 云运营模式服务 — 提供 DevSecOps功能的 AWS 云运营模式服务。

在迁移项目的评估阶段,使用发现工具、现有文档或应用程序访谈研讨会来识别和确认这些安全集成点。在中设计和实施工作负载时 AWS Cloud,请根据您在映射研讨会期间定义的安全与合规策略和流程建立这些集成。

验证

在实施和集成之后,下一个活动是验证实施。您需要确保设置符合安全性和合规性 AWS 的最佳实践。我们建议您从两个覆盖区域验证安全性:

  • 特定于工作负载的漏洞评估和渗透测试-验证运行的工作负载的操作系统、应用程序、数据库或网络安全。 AWS 服务要进行这些验证,请使用现有工具和测试脚本。在进行这些评估时,必须遵守AWS 渗透测试客户支持政策

  • AWS安全最佳实践验证-验证您的 AWS 实施是否符合架构 AWS 完善的框架和其他选定的基准,例如互联网安全中心 (CIS)。要进行此验证,您可以使用诸如 Prowler (GitHub) AWS Trusted Advisor、Service Screener () 或AWS 自助AWS 服务安全评估 (GitHub) 之类的工具和服务。GitHub

记录所有安全与合规调查结果并将其传达给安全团队和领导非常重要。标准化报告模板,并使用它们来促进与相应安全利益相关者的沟通。记录在寻找补救措施期间出现的所有例外情况,并确保相应的安全利益相关者签字。