本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全探索和一致性
調動遷移專案時,安全與合規工作流的第一個網域是安全探索和一致性。此網域旨在協助您的組織達成下列目標:
-
訓練安全與合規工作流,了解 AWS 安全服務、功能和合規遵循
-
探索您的安全與合規要求和目前的實務。從基礎設施和操作的角度考慮這些要求,包括:
-
目標結束狀態的安全挑戰和驅動因素
-
雲端安全團隊技能
-
安全風險與合規政策、組態、控制和護欄
-
安全風險偏好和基準
-
現有和潛在的安全工具
-
沉浸式日研討會
若要符合這些目標,請使用安全和合規沉浸式日。沉浸日是涵蓋一系列安全相關主題的研討會,例如:
-
AWS Well-Architected 架構的安全支柱
沉浸式日研討會有助於為您的安全團隊建立知識基準。它培訓他們有關 AWS 安全服務和安全和合規最佳實務。 AWS 解決方案架構師、 AWS 專業服務和 AWS 合作夥伴可協助您執行這些互動式研討會。他們使用標準簡報平台、AWS 實驗室和白板活動來協助準備您的團隊。
探索研討會
在沉浸式日研討會之後,您會執行多個深入探索安全和合規探索研討會。這些有助於您的團隊探索基礎設施、應用程式和操作目前的安全、風險和合規 (SRC) 要求。您可以透過下列觀點來分析這些需求:人員、程序和技術。以下是每個觀點的探索領域。
人員觀點
-
組織結構 – 了解目前的安全和合規工作流程結構和責任。
-
功能和技能 – 具備 AWS 服務 雲端安全與合規功能的實用知識和技能。這包括探索、規劃、實作和操作。
-
負責、負責、諮詢、告知 (RACI) 矩陣 – 定義組織內目前安全與合規活動的角色和責任。
-
文化 – 了解目前的安全與合規文化。在建置、設計、實作和操作階段中優先考慮安全性和合規性。將開發安全操作 (DevSecOps) 引入雲端安全與合規文化。
程序觀點
-
實務 – 定義並記錄要建置、設計、實作和操作的目前安全與合規程序。程序包括:
-
身分存取和管理
-
事件偵測控制和回應
-
基礎設施和網路安全
-
資料保護
-
合規
-
業務持續性和復原
-
-
實作文件 – 文件安全與合規政策、控制組態、工具文件和架構文件。這些文件需要涵蓋基礎設施、網路、應用程式、資料庫和部署區域的安全性和合規性。
-
風險文件 – 建立概述風險偏好和閾值的資訊安全風險文件。
-
驗證 – 建立內部和外部安全驗證和稽核要求。
-
執行手冊 – 開發操作執行手冊,涵蓋安全性和合規性的目前標準實作和控管程序。
技術觀點
-
服務和工具 – 使用工具來驗證您的安全性和合規狀態,並強制執行和管理目前的 IT 環境。為下列類別建立工具:
-
身分存取和管理
-
事件偵測控制和回應
-
基礎設施和網路安全
-
資料保護
-
合規
-
業務持續性和復原
-
在 AWS 安全性探索研討會期間,您會使用標準化資料收集範本和問卷來收集資料。在由於資料清晰度不足或資料過時而無法提供資訊的情況下,您可以使用遷移探索工具來收集應用程式和基礎設施層級的安全性資訊。如需您可以使用的探索工具清單,請參閱 AWS 方案指引中的探索、規劃和建議遷移工具
在初始安全性評估期間,強烈建議您從威脅建模開始。這可協助您識別可能的威脅和現有的措施。安全、合規和風險也可能有預先定義和文件化的要求。如需詳細資訊,請參閱建置器的威脅建模研討會
