SEC01-BP03 识别并验证控制目标

根据您的合规性要求以及从威胁模型中发现的风险，获得并验证您需要应用于工作负载的控制目标和控制措施。持续验证控制目标和控制措施可帮助您衡量风险缓解措施的有效性。

期望结果：针对您的业务明确定义了安全控制目标，并且这些目标符合您的合规性要求。通过自动化方法以及策略来实施和强制执行控制措施，并持续评估这些措施在达成目标方面的有效性。收集某个时间点以及一段时间内的有效性证据，并能够随时报告给审计人员。

常见反面模式：

• 对于您的业务，没有充分了解用于确保安全性的监管要求、市场期望和行业标准

• 您的网络安全框架和控制目标与业务要求不一致

• 虽然实施了控制措施，但没有与您的控制目标保持高度一致，也难于衡量

• 未使用自动化方法来报告控制措施的有效性

在未建立这种最佳实践的情况下暴露的风险等级：高

实施指导

根据安全控制目标，您可以利用许多常见的网络安全框架来奠定基础。根据您的业务来考虑监管要求、市场期望和行业标准，确定哪些框架能够很好地满足需求。这些框架的例子包括 AICPA SOC 2、HITRUST、PCI-DSS、ISO 27001 和 NIST SP 800-53 等。

对于所确定的控制目标，了解您使用的 AWS 服务如何帮助您实现这些目标。使用 AWS Artifact 来查找与您的目标框架相符的文档和报告，这些文档和报告介绍了 AWS 承担的责任范围，并且提供了针对您负责的其余责任范围的相关指导。如需进一步了解与各种框架控制声明对应的服务特定指导，请参阅 AWS Customer Compliance Guides。

在定义用于实现目标的控制措施时，请使用预防性控制措施来规范执行方法，并使用检测性控制措施来自动执行缓解方法。在您的 AWS Organizations 中，使用服务控制策略（SCP）来协助防范不合规的资源配置和操作。在 AWS Config 中实施规则，用于监控并报告不合规的资源，然后在确信规则的行为正确无误时，将规则切换为强制执行模式。要部署与您的网络安全框架相一致的预定义托管规则集，请优先评估使用 AWS Security Hub 标准。AWS 基础服务最佳实践（FSBP，Foundational Service Best Practice）标准和 CIS AWS 基础基准可作为很好的起点，用于制定与多种标准框架所共有的多个目标相一致的控制措施。如果 Security Hub 实质上没有所需的控制检测措施，则可以使用 AWS Config 合规包予以补充。

使用 AWS Global Security and Compliance Acceleration（GSCA）团队推荐的 APN 合作伙伴服务包，可以根据需要，从安全顾问、咨询机构、证据收集和报告系统、审计人员以及其它补充性服务那里获取协助。

实施步骤

1. 评估常见的网络安全框架，并将您的控制目标与所选框架保持一致。

2. 使用 AWS Artifact 获取所选框架的相关指导和责任文档。了解在责任共担模式下，合规性的责任有哪些归属于 AWS，哪些由您承担。

3. 使用 SCP、资源策略、角色信任策略和其它防护机制，防止出现不合规的资源配置和操作。

4. 评估与您的控制目标相一致的 Security Hub 标准和 AWS Config 合规包的部署。

资源

相关最佳实践：

• SEC03-BP01 定义访问要求

• SEC04-BP01 配置服务和应用程序日志记录

• SEC07-BP01 了解您的数据分类方案

• OPS01-BP03 评估治理要求

• OPS01-BP04 评估合规性要求

• PERF01-BP05 使用策略和参考架构

• COST02-BP01 根据组织的要求制定各种策略

相关文档：

• AWS Customer Compliance Guides

相关工具：

• AWS Artifact