安全与合规工作流程和团队结构

AWS 提供AWS 迁移加速计划。该计划将迁移过程分为三个阶段：评估、动员、迁移和现代化。作为动员阶段的一部分，您需要制定迁移计划并完善您的业务案例。您可以解决在评估阶段发现的组织准备程度方面的差距。你还要专注于建立自己的着陆区、提高运营准备状态和培养云技能。移动阶段的一个关键部分是创建安全与合规工作流，以规划和满足迁移的安全、风险和合规性要求。如下图所示，安全与合规工作流是该迁移方法的平台视角的一部分。

在移动化阶段，发现和规划您的安全与合规要求非常重要。从工具、人员和流程的角度评估您的需求。在动员阶段，安全与合规工作流有五个关键领域：

• 安全发现和调整

• 安全框架映射

• 安全实施、集成、验证

• 安全性文档

• 安全性与合规性云运营

本指南的安全与合规工作流的领域章节将详细讨论这些活动。首先，了解支持安全与合规工作流的团队的组成和结构非常重要。这些团队执行或促进安全与合规工作流中的活动。

安全与合规团队结构

有效动员安全和合规的第一步是建立或组建两个小组，负责支持、完成和管理框架中的五项关键活动。下图显示了推荐的团队结构和资源需求。安全与合规工作流程主要由质量保证 (QA) 团队以及规划和交付团队的人员组成。

规划和交付团队负责安全与合规工作流程中的以下工作：

• 了解AWS 分担责任模型

• 了解 300—400 级别 AWS 的安全与合规服务

• 了解合规架构的设计和设置 AWS

• 使用已定义的工具或现有机制收集安全和合规要求

• 将安全要求、策略、配置、控制和护栏映射到上的服务配置 AWS （这称为安全框架映射）

• 提供至少两名获得 AWS 安全认证的人

• 创建安全文档

QA 团队负责安全与合规工作流程中的以下工作：

• 总共提供 3-5 个人，其中至少有两人必须持有 AWS 安全认证

• 了解合规架构的设计和设置 AWS

• 了解并体验完成五篇或更多 Well-Architect AWS ed 评论

• 验证 AWS 基础架构和资源是否符合 AWS 安全性和合规性最佳实践

• 创建和提交安全验证报告

每个团队的要求因迁移规模以及安全性和合规性复杂性而异。还需要注意的是，团队结构和要求仅限于以下范围：

• 动员阶段安全与合规工作流的运营

• 迁移和现代化的安全性和合规性验证

迁移后，我们建议您建立一个专门的安全运营中心 (SOC)，以持续监控和管理中的安全性与合规性 AWS Cloud。