SEC01-BP03 识别和验证控制目标 - AWS Well-Architected 框架

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SEC01-BP03 识别和验证控制目标

根据合规性要求以及从威胁模型中发现的风险,获得并验证需要应用于工作负载的控制目标和控制措施。持续验证控制目标和控制措施可帮助您衡量风险缓解措施的有效性。

期望结果:针对业务明确定义了安全控制目标,并且这些目标符合合规性要求。通过自动化方法以及策略来实施和强制执行控制措施,并持续评估这些措施在达成目标方面的有效性。收集某个时间点以及一段时间内的有效性证据,并能够随时报告给审核人员。

常见反模式:

  • 没有充分了解用于确保业务安全性的监管要求、市场期望和行业标准

  • 网络安全框架和控制目标与业务要求不一致

  • 虽然实施了控制措施,但没有与控制目标保持高度一致,也难于衡量

  • 不使用自动化方法来报告控制措施的有效性

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

根据安全控制目标,您可以利用许多常见的网络安全框架来奠定基础。根据业务考虑监管要求、市场期望和行业标准,确定哪些框架能够很好地满足需求。示例包括 AICPASOC2、、PCI-HITRUSTDSSISO27001 和 NISTSP 8 00 -53。

对于您确定的控制目标,请了解您使用的 AWS 服务如何帮助您实现这些目标。用于AWS Artifact查找与您的目标框架一致的文档和报告,这些文档和报告描述了您所涵盖的责任范围 AWS 以及剩余范围(即您的责任)的指导。如需进一步了解与各种框架控制声明对应的服务特定指导,请参阅《AWS Customer Compliance Guides》。

在定义用于实现目标的控制措施时,请使用预防性控制措施来规范执行方法,并使用检测性控制措施来自动执行缓解方法。 AWS Organizations 使用服务控制策略(SCP),帮助防止在整个过程中出现不合规的资源配置和操作。在 AWS Config 中实施规则,用于监控并报告不合规的资源,然后在确信规则的行为正确无误时,将规则切换为强制执行模式。要部署与网络安全框架相一致的预定义托管规则集,请优先评估使用 AWS Security Hub 标准。 AWS 基础服务最佳实践 (FSBP) 标准和CIS AWS 基础基准测试是很好的起点,其控件与多个标准框架共享的许多目标保持一致。如果 Security Hub 实质上没有所需的控制检测措施,则可以使用 AWS Config 合规包予以补充。

使用 AWS 全球安全与合规加速 (GSCA) 团队推荐的APN合作伙伴捆绑包,在需要时获得安全顾问、咨询机构、证据收集和报告系统、审计师和其他补充服务的帮助。

实施步骤

  1. 评估常见的网络安全框架,让控制目标与所选框架保持一致。

  2. 使用获取有关框架指导和责任的相关文档 AWS Artifact。了解合规的哪些部分属于共担责任模型,哪些部分属于您的责任。 AWS

  3. 使用SCPs资源策略、角色信任策略和其他防护措施来防止不合规的资源配置和操作。

  4. 评估部署 AWS Config 符合您的控制目标的 Security Hub 标准和一致性包。

资源

相关最佳实践:

相关文档:

相关工具: