控管
安全管控作為整體方法的子集,旨在藉由定義政策和控制目標來協助管理風險,以支援業務目標。藉由遵循分層方法安全地控制目標來實現風險管理 - 每一層都建立在前一層之上。了解 AWS 共同責任模式是您的基礎層。這點清楚地說明了您在客戶端的責任,以及您從 AWS 繼承的責任。有益的資源是 AWS Artifact
滿足下一層的大部分控制目標。這就是全平台的能力所在。例如,這一層包括 AWS 帳戶銷售流程、與身分供應商 (例如 AWS IAM Identity Center 單一登入) 的整合,以及常見的偵測控制。這裡也會列出一些平台管控流程輸出。當您想要開始使用新的AWS 服務時,請更新 AWS Organizations 服務中的服務控制政策 (SCP),為服務的初始使用提供防護機制。您可以使用其他 SCP 來實現常見的安全控制目標,通常稱為安全不變量。這些是您套用至多個帳戶、組織單位或整個 AWS 組織的控制目標或組態。典型範例是限制基礎設施執行所在的區域或防止停用偵測控制。此中間層還包含編碼政策,例如管道中的組態規則或檢查。
最上層是產品團隊符合控制目標的地方。因為這個實作是由產品團隊所控制應用程式進行完成。過程中可能是在應用程式中實作輸入驗證,或確保身分在微型服務之間正確傳遞。即使產品團隊擁有組態,他們仍可能繼承中間層的一些功能。
無論您在何處實作控制,目標都是管理風險。一系列適用於特定產業、區域或技術的風險管理架構。您的主要目標:根據可能性和後果來找出風險。這是固有風險。您可以接著定義一個控制目標,以降低可能性或後果,或同時降低兩者。然後,配合適當的控制,您就能預見可能產生的風險。這是剩餘風險。控制目標適用於一個或多個工作負載。下圖顯示典型的風險矩陣。可能性以先前發生的頻率為依據,而後果以事件的財務、信譽和時間成本為依據。
圖 2:風險等級可能性矩陣
