本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全性与合规性云运营
<a name="cloud-operations"></a>

最后一个领域是*安全性和合规性云运营*。这是一项持续的活动，您可以使用定义的安全和合规操作手册来管理云运营。您还可以构建安全云运营模型，以确定组织中的安全与合规责任。

## 安全与合规云运营模式
<a name="cloud-operating-model"></a>

在此领域中，您可以为安全性定义[云运营模型](apg-gloss.md#glossary-com)。您的云运营模式应满足您在探索研讨会上确定并随后定义为运行手册的要求。您可以通过以下三种方式之一设计安全性与合规性云运营模式：
+ **集中化** — 一种更传统的模式 SecOps ，负责识别和修复整个企业的安全事件。这可能包括查看企业的一般安全态势调查结果，例如补丁和安全配置问题。
+ **分散** — 响应和修复整个业务的安全事件的责任已委托给应用程序所有者和各个业务部门，并且没有中央运营职能。通常，仍然有一个总体安全治理职能来定义策略和原则。
+ **混合 — 两种方法的组合，其中 SecOps 仍有一定程度的责任和所有权来识别和协调安全事件的响应，补救责任由应用程序所有者和各个业务部门承担。**

根据您的安全性和合规性要求、组织成熟度和限制条件选择正确的运营模式非常重要。安全性和合规性要求和限制条件是在发现研讨会上确定的。另一方面，组织成熟度决定了运营安全实践的级别。以下是期限区间的示例：
+ **低**-日志记录是本地的，并且会采取一些或零星的操作。
+ **中级**-将来自不同来源的日志关联起来，并建立自动警报。
+ **高**-存在详细的行动手册，其中包含有关标准化流程响应的详细信息。 从操作和技术上讲，大多数警报响应都是自动化的。

要进一步了解安全性与合规性云运营模式并帮助选择合适的设计，请参阅[云端安全操作注意事项](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/)（AWS 博客文章）。在没有预定义要求的情况下，我们建议您将安全运营中心 (SOC) 设置为云运营模式的一部分。这通常是一种集中式运营模式实践。通过这种方法，您可以将来自多个来源的事件定向到一个集中的团队，然后该团队可以触发操作和响应。这通过云运营实现了安全治理的标准化。 AWS AWS 合作伙伴有能力帮助您构建 SOC 以及定义和实施安全编排、自动化和响应 (SOAR)。 AWS 和 AWS 合作伙伴使用合作伙伴提供的专业服务咨询 AWS 服务、定义的 AWS 模板和第三方工具。

## 正在进行的安全行动
<a name="ongoing-security-operations"></a>

在此域中，使用您定义的安全与合规操作手册持续执行以下任务：
+ **安全与合规性监**控-使用您定义的工具 AWS 服务、指标、标准和频率，对安全事件和威胁进行集中监控。运营团队或 SOC 负责管理这种持续监控，具体取决于您的组织结构。安全监控涉及对大量日志和数据的分析和关联。日志数据来自终端节点、网络 AWS 服务、基础设施和应用程序，存储在中央存储库中，例如 [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 或安全信息和事件管理 (SIEM) 系统。配置警报非常重要，这样您就可以及时手动或自动响应事件。
+ **事件管理**-定义您的基准安全态势。当由于配置错误或外部因素导致偏离预设基线时，请记录事件。确保指派的团队对这些事件做出回应。云端成功的事件响应计划的基础是将人员、流程和工具集成到事件响应计划的每个阶段（准备、运营和事后活动）中。教育、培训和经验对于成功的云事件响应计划至关重要。理想情况下，应在必须处理可能的安全事件之前尽早实施这些措施。有关设置有效的安全事件响应计划的更多信息，请参阅《[AWS 安全事件响应指南》](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html)。
+ **安全验证** — 安全验证包括运行漏洞评估、渗透测试和混沌安全模拟事件测试。应继续定期运行安全验证，尤其是在以下情况下：
  + 软件更新和发布
  + 新发现的威胁，例如恶意软件、病毒或蠕虫
  + 内部和外部审计要求
  + 安全漏洞

  记录安全验证过程并突出显示用于数据收集和报告的人员、流程、日程安排、工具和模板非常重要。这标准化了安全验证。在云端运行安全验证时，请继续遵守[渗透测试的AWS 客户支持政策](https://aws.amazon.com/security/penetration-testing/)。
+ **内部和外部审计** — 进行内部和外部审计，以验证安全性和合规性配置是否符合监管或内部政策要求。根据预定义的时间表定期执行审计。内部审计通常由内部安全和风险小组进行。外部审计由相关机构或标准官员进行。您可以使用 AWS 服务诸如[AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)和[AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)之类的方法来简化审核过程。这些服务可以为安全 IT 审计报告提供相关证据。他们还可以通过自动收集证据，简化符合监管和行业标准的风险和合规管理。这可以帮助您评估被称为*控制*的策略、程序和活动是否有效运行。同样重要的是，要使审计要求与您的托管服务合作伙伴保持一致，以确保合规性。

**安全架构审查** — 从安全性和合规性的角度完成对 AWS 架构的定期审查和更新。每季度或在架构发生变化时审查架构。 AWS 继续发布安全与合规性功能和服务的更新和改进。使用[AWS 安全参考架构和架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) AWS 精良的工具来简化这些架构审查。在审查过程结束后，记录您的安全与合规实施情况以及建议的更改非常重要。

## AWS 运营安全服务
<a name="aws-security-services"></a>

在安全性和合规性方面 AWS ，您与您分担责任 AWS 云。[AWS 分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)详细描述了这种关系。*在 AWS 管理云安全的同时，您也要负责云*中的*安全。*您有责任保护自己的内容、基础架构、应用程序、系统和网络，这与保护本地数据中心没有什么不同。根据您使用的服务、将这些服务集成到您的 IT 环境中的方式以及适用的法律和法规，您在安全与合规方面的责任各不 AWS 云 相同。

的优势在 AWS 云 于，它允许您使用 AWS 最佳实践以及安全与合规服务进行扩展和创新。这可以帮助您维护安全的环境，同时只需为所使用的服务付费。您还可以访问高度 AWS 安全的企业组织用来保护其云环境的安全性和合规性服务。

在健全和安全的基础上构建云架构是确保云安全与合规的第一步，也是最好的步骤。但是，您的 AWS 资源只有在您配置时才是安全的。只有在运营层面持续、严格地遵守规定，才能实现有效的安全与合规态势。安全和合规操作可以大致分为五类：
+ 数据保护
+ 身份访问和管理
+ 网络和应用程序保护
+ 威胁检测和持续监控
+ 合规性和数据隐私

AWS 安全与合规服务对应于这些类别，可帮助您满足一系列全面的要求。以下是 AWS 安全与合规核心服务及其功能，分为这些类别。这些服务可以帮助您建立和实施云安全治理。

### 数据保护
<a name="data-protection"></a>

AWS 提供以下服务，可帮助您保护数据、帐户和工作负载免遭未经授权的访问：
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)— 配置、管理和部署用于的 SSL/TLS 证书 AWS 服务。
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)— 在中管理您的硬件安全模块 (HSMs) AWS 云。
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)-创建和控制用于加密数据的密钥。
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) — 利用基于机器学习的安全功能，发现、分类和帮助保护敏感数据。
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)— 在数据库凭证、API 密钥和其他密钥的生命周期中轮换、管理和检索这些凭证。

### Identity and access management
<a name="identity"></a>

以下 AWS 身份服务可帮助您大规模安全地管理身份、资源和权限：
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) — 为您的网络和移动应用程序添加用户注册、登录和访问控制。
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)— 在中使用托管的 Microsoft 活动目录 AWS 云。
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)— 集中管理对多个应用程序 AWS 账户 和业务应用程序的单点登录 (SSO) 访问。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) — 安全地控制对 AWS 服务 资源的访问权限。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)— 对多 AWS 账户人实施基于策略的管理。
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) — 在您的账户之间共享 AWS 资源。

### 网络和应用程序保护
<a name="network-app-protection"></a>

此类服务可帮助您在整个组织的网络控制点实施精细的安全策略。以下内容 AWS 服务 可帮助您检查和过滤流量，以防止在主机级、网络级别和应用程序级边界上进行未经授权的资源访问：
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)— 从一个中心位置配置 AWS 账户 和管理跨应用程序的 AWS WAF 规则。
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)— 为您的虚拟私有云部署基本的网络保护（VPCs）。
+ [Amazon Route 53 解析器 DNS 防火墙](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) — 帮助保护您的出站 DNS 请求免受您的攻击 VPCs。
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)— 使用托管 DDo S 保护来保护您的 Web 应用程序。
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)— 配置和管理亚马逊弹性计算云 (Amazon EC2) 和本地系统，以应用操作系统补丁、创建安全的系统映像和配置操作系统。
+ [Amazon Virtual Private Cloud（Amazon VPC）](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)— 配置一个逻辑上隔离的部分，您可以在 AWS 其中启动您定义的虚拟网络中的 AWS 资源。
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)— 帮助保护您的 Web 应用程序免受常见的 Web 漏洞攻击。

### 威胁检测和持续监控
<a name="detection-monitoring"></a>

以下 AWS 监控和检测服务可帮助您识别 AWS 环境中潜在的安全事件：
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)— 跟踪用户活动和 API 使用情况，以便对您的用户进行治理、运营和风险审计 AWS 账户。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)— 记录和评估您的 AWS 资源配置，以帮助您审计合规性、跟踪资源变化和分析资源安全性。
+ [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)-创建自动响应环境变化的规则，例如隔离资源、使用其他数据丰富事件或将配置恢复到已知良好的状态。
+ [Amazon](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) Detective — 分析和可视化安全数据，以快速找出潜在安全问题的根本原因。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) — 通过智能威胁检测 AWS 账户 和持续监控，帮助保护您的和工作负载。
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) — 自动进行安全评估，以帮助提高部署在其上的应用程序的安全性和合规性 AWS。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)— 无需预置或管理服务器即可运行代码，这样您就可以扩展对事件的编程自动响应。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— 从中心位置查看和管理安全警报并自动执行合规性检查。

### 合规性和数据隐私
<a name="compliance"></a>

以下内容 AWS 服务 全面概述了您的合规状态。他们使用基于 AWS 最佳实践和行业标准的自动合规性检查来持续监控您的环境：
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)— 按需访问 AWS 安全与合规报告并选择在线协议。
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)— 持续审计您的 AWS 使用情况，以简化风险管理方式并保持对法规和行业标准的合规性。