SEC01-BP03 識別和驗證控制目標

根據合規需求以及從威脅模型識別的風險，衍生並驗證您需要套用到工作負載的控制目標和控制。對控制目標與控制持續進行驗證，可協助您測量風險降低的有效性。

預期成果：您的企業擁有明確定義的安全控制目標，且這些目標與您的合規要求一致。控制是透過自動化和政策實作和強制執行，並且針對其能否有效實現您的目標這點，持續接受評估。稽核人員會定期收到某個時間點和某段時間的有效性實證報告。

常見的反模式：

• 貴企業未充分了解可保證安全的法規要求、市場期望和產業標準

• 您的網路安全架構和控制目標與您的企業需求不符

• 控制的實施未能透過可衡量的方式與您的控制目標完全相符

• 您未使用自動化方式來報告控制的有效性

未建立此最佳實務時的風險暴露等級：高

實作指引

有許多常見的網路安全架構可作為您訂立安全控制目標的基礎。考慮貴企業的法規要求、市場期望和產業標準，以確定哪些架構最合乎所需。範例包括 AICPA SOC 2、HITRUST、PCI-DSS、ISO 27001 和 NIST SP 800-53。

針對已確定的控制目標，務必了解您使用的 AWS 服務如何幫助您實現這些目標。使用 AWS Artifact 來尋找與合乎您目標架構的文件和報告 (其中描述 AWS 所涵蓋的責任範圍，以及您其他責任範圍的指引)。如需進一步的服務特定指引，以了解其符合各種不同架構控制聲明的資訊，請參閱AWS 客戶合規指南。

定義達成目標的控制措施時，請使用預防性控制措施來編制實施，並使用偵測控制來自動執行緩解措施。使用服務控制政策 (SCP) 協助防止您的 AWS Organizations 中不合規的資源組態和動作。在 AWS Config 中實作規則，以監控並報告不合規的資源，然後在規則行為趨於穩定可信後，將其切換為強制執行模式。若要部署合乎您網路安全架構的預先定義和受管規則集，請考慮優先使用 AWS Security Hub 標準。建議您從 AWS 基礎服務最佳實務 (FSBP) 標準和 CIS AWS Foundations Benchmark 開始著手，以實施符合多種標準架構共同擁有的多個目標的控制措施。雖然 Security Hub 本質上沒有所需的控制偵測功能，但可以藉由使用 AWS Config 合規套件補足這方面的能力。

使用 AWS Global Security and Compliance Acceleration (GSCA) 團隊推薦的 APN 合作夥伴組合，即可在需要時獲得安全顧問、諮詢機構、證據收集和通報系統、稽核人員以及其他輔助服務的協助。

實作步驟

1. 評估常見的網路安全架構，並調整您的控制目標，以使其符合您選擇的架構。

2. 取得相關文件，了解您的架構使用 AWS Artifact 的指引和責任。了解合規的哪些部分需由 AWS 共同責任模式承擔，以及哪些部分屬於您的責任。

3. 使用 SCP、資源政策、角色信任政策及其他防護機制，以防止不合規的資源組態和動作。

4. 評估部署合乎您控制目標的 Security Hub 標準和 AWS Config 合規套件。

資源

相關的最佳實務：

• SEC03-BP01 定義存取需求

• SEC04-BP01 設定服務和應用程式記錄

• SEC07-BP01 了解您的資料分類機制

• OPS01-BP03 評估管控要求

• OPS01-BP04 評估合規要求

• PERF01-BP05 使用政策和參考架構

• COST02-BP01 根據貴組織的需求制定政策

相關文件：

• AWS 客戶合規指南

相關工具：

• AWS Artifact