本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全与合规工作流的领域
<a name="domains"></a>

本节详细描述了安全与合规工作流负责的领域。在迁移项目的移动阶段，这些领域有助于加快安全与合规的规划和实施 AWS：
+ [安全发现和调整](discovery-and-alignment.md)
+ [安全框架映射](mapping.md)
+ [安全实施、集成和验证](implementation-integration-and-validation.md)
+ [安全性文档](documentation.md)
+ [安全性与合规性云运营](cloud-operations.md)

重要的是要在动员阶段解决这些问题，以便在随后的迁移和现代化阶段确保迁移活动的安全。

# 安全发现和调整
<a name="discovery-and-alignment"></a>

在移动迁移项目时，安全与合规工作流的第一个领域是*安全发现和协调*。此域名旨在帮助您的组织实现以下目标：
+ 培训安全与合规工作流程，了解 AWS 安全服务、功能和合规遵守情况
+ 了解您的安全和合规要求以及当前实践。从基础架构和运营的角度考虑这些要求，包括：
  + 目标最终状态的安全挑战和驱动因素
  + 云安全团队的技能组合
  + 安全风险和合规政策、配置、控制和护栏
  + 安全风险偏好和基准
  + 现有和潜在的安全工具

## 沉浸式日研讨会
<a name="immersion-day-workshops"></a>

要实现这些目标，请利用安全与合规沉浸式日活动。*沉浸式日*是涵盖一系列安全相关主题的研讨会，例如：
+ [AWS 分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS 保安服务](https://aws.amazon.com/products/security/)
+ [AWS 安全参考架构 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)
+ [AWS 合规](https://aws.amazon.com/compliance/)
+ Well-Architecte AWS d 框架@@ [的安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)

沉浸式日研讨会有助于为您的安全团队建立知识基准。它为他们提供有关 AWS 安全服务以及安全与合规最佳实践的培训。 AWS 解决方案架构师、 AWS 专业服务和 AWS 合作伙伴可以帮助您举办这些交互式研讨会。他们使用标准演示文稿、AWS 实验室和白板活动来帮助您的团队做好准备。

## 探索研讨会
<a name="discovery-workshops"></a>

沉浸式日研讨会结束后，您将举办多个深入的安全和合规性探索研讨会。它们可以帮助您的团队发现基础架构、应用程序和运营的当前安全、风险和合规性 (SRC) 要求。您可以从以下角度分析这些需求：人员、流程和技术。以下是每种视角的探索领域。

### 人员角度
<a name="people-perspective"></a>
+ **组织结构**-了解当前的安全与合规工作流程结构和职责。
+ **能力和技能** — 具备云安全和合规能力的 AWS 服务 实践知识和技能。这包括发现、规划、实施和运营。
+ **负责、负责、咨询、知情 (RACI) 矩阵** — 定义组织内当前安全和合规活动的角色和责任。
+ **文化**-了解当前的安全和合规文化。在构建、设计、实施和运营阶段优先考虑安全性和合规性。将开发安全运营 (DevSecOps) 引入云安全与合规文化。

### 流程视角
<a name="process-perspective"></a>
+ **实践**-定义和记录当前用于构建、设计、实施和运营的安全和合规流程。流程包括：
  + 身份访问和管理
  + 事件探测控制和响应
  + 基础设施和网络安全
  + 数据保护
  + 合规
  + 业务连续性和恢复
+ **实施文档** — 记录安全与合规性政策、控制配置、工具文档和架构文档。这些文档是涵盖基础架构、网络、应用程序、数据库和部署区域的安全性和合规性所必需的。
+ **风险文档**-创建概述风险偏好和阈值的信息安全风险文档。
+ **验证**-创建内部和外部安全验证和审计要求。
+ **运行手册** — 制定运营手册，涵盖当前的安全和合规标准实施和管理流程。

### 技术视角
<a name="technology-perspective"></a>
+ **服务和工具**-使用工具来验证您的安全与合规态势，并强制执行和管理当前 IT 格局。为以下类别建立工具：
  + 身份访问和管理
  + 事件探测控制和响应
  + 基础设施和网络安全
  + 数据保护
  + 合规
  + 业务连续性和恢复

在 AWS 安全发现研讨会期间，您将使用标准化的数据收集模板和问卷来收集数据。如果由于数据不清晰或数据过时而无法提供信息，则可以使用迁移发现工具来收集应用程序和基础架构级别的安全信息。有关可以使用的发现工具列表，请参阅 AWS 规范性指导中的[发现、规划和建议迁移工具](https://aws.amazon.com/prescriptive-guidance/migration-tools/migration-discovery-tools/)。该列表提供了有关每种工具的发现功能和用法的详细信息。它还比较了各种工具，以帮助您选择满足您的 IT 环境要求和限制的最佳工具。

在初始安全评估期间，我们强烈建议您从威胁建模开始。这可以帮助您识别可能的威胁和现有的措施。在安全、合规和风险方面，也可能有预定义和记录在案的要求。有关更多信息，请参阅[建筑商威胁建模研讨会](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)（AWS 培训）和[如何进行威胁建模](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)（AWS 博客文章）。这种方法可以帮助您重新考虑在部署、实施和治理方面的安全与合规策略 AWS 云。

# 安全框架映射
<a name="mapping"></a>

完成安全发现和协调域后，下一步是完成*安全框架映射域*。此域是一个研讨会流程，它将发现的安全和合规性要求映射到 AWS 云 安全服务。它还可以使您的架构和运营与 AWS 安全性和合规性最佳实践保持一致。研讨会从人员、流程和技术的角度规划了所有要求，以涵盖以下内容：
+ AWS 基础设施
  + AWS 账户、基础设施和网络保护
  + 数据保护
  + 合规
  + 事件检测和响应
  + Identity and access management
  + 业务连续性和恢复
+ 应用程序已启用 AWS
  + 遵循有助于保护应用程序 AWS 服务 的最佳实践
  + 应用程序、数据库、操作系统和数据的访问控制
  + 操作系统保护
  + 应用程序、数据库和数据保护
  + 事件检测和响应
  + 合规
  + 应用程序业务连续性和恢复

在完成安全框架映射域时，请考虑定义的风险偏好、团队结构、团队技能和能力、安全流程、安全策略、安全控制、工具、安全操作以及其他安全要求和限制。总体而言，安全框架映射为组织提供了一种系统的方法，可以根据行业标准和最佳实践来管理安全风险、保持合规性并不断改善其安全状况。

[安全框架映射过程使用[AWS 安全参考架构 (AWS SRA)、Well-Ar](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)AWS chitected 框架[的安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)、Well-Architected 框架的迁移[视角](https://docs.aws.amazon.com/wellarchitected/latest/migration-lens/security.html)以及安全 AWS 入门白皮书。 AWS](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/welcome.html)这些文档可作为指导性参考资料，帮助您遵循云安全与合规 AWS 的最佳实践。

通过在研讨会中使用标准化映射模板，可以将需求映射到目标最终状态。您将重点介绍实现目标最终状态所需的工具 AWS 服务、流程、策略、控制和更改。

在举办安全框架映射研讨会时，您可以使用 AWS 专业服务、 AWS 安全解决方案架构师或 AWS 合作伙伴。这些资源可以帮助您加快和促进研讨会的进行。安全框架映射研讨会可以作为[基于体验的加速 (EBA) 派对](https://aws.amazon.com/blogs/mt/level-up-your-cloud-transformation-with-experience-based-acceleration-eba/)的一部分，该小组由 AWS 解决方案架构师、 AWS 客户解决方案经理或 AWS 合作伙伴主持。EBA 方充当加速器，可帮助您建立遵循 AWS 迁移和现代化最佳实践的坚实 AWS 云 基础。

# 安全实施、集成和验证
<a name="implementation-integration-and-validation"></a>

在确定了您的安全、风险和合规要求之后，下一个领域是*安全实施、集成和验证*。根据确定的要求，选择适当的安全控制措施和措施以有效降低风险。这可能包括加密、访问控制、入侵检测系统或防火墙。将入侵检测和防御系统、端点保护和身份管理等安全解决方案集成到现有的 IT 基础架构中，以提供全面的安全保护。定期进行安全评估，包括漏洞扫描、渗透测试和代码审查，以验证安全控制的有效性并找出弱点或差距。通过专注于安全实施、集成和验证，组织可以加强其安全态势，降低发生安全漏洞的可能性，并证明其符合监管要求和行业标准。

## 实施
<a name="implementation"></a>

首先，更新您当前的安全、风险和合规阈值或偏好的文档。这使您能够在云中实施计划中的安全与合规性要求、控制措施、策略和工具。只有在您已经定义了现有的风险登记册和偏好时，才需要执行此步骤，这些风险登记册和偏好将在发现研讨会上确定。

接下来，在云端实施计划中的安全与合规性要求、控制措施、策略和工具。我们建议您按以下顺序实现它们：基础架构 AWS 服务、操作系统，然后是应用程序或数据库。使用下表中的信息，确保您已经解决了所有必需的安全和合规领域。


|  |  | 
| --- |--- |
| **领域** | **安全和合规性要求** | 
| Infrastructure |   AWS 账户    登录区   预防性控制机制   侦测性控制     网络分段    访问控制    加密    记录、监控和警报   | 
| AWS 服务 |   AWS 服务 配置    实例   仓储服务   Network     访问控制    加密    更新和补丁    记录、监控和警报   | 
| 操作系统 |   防病毒    恶意软件和蠕虫防护    配置    网络保护    访问控制    加密    更新和补丁    记录、监控和警报   | 
| 应用程序或数据库 |   配置    代码和架构    访问控制    加密    更新和补丁    记录、监控和警报   | 

## 集成
<a name="integration"></a>

安全实施通常需要与以下内容集成：
+ **联网** — 内部和外部的联网 AWS 云
+ **混合 IT 格局** — 除本地 AWS 云、公共云、私有云和主机托管之外的 IT 环境
+ **外部软件或服务** — 由独立软件供应商 (ISVs) 管理且不在您的环境中托管的软件和服务。
+ **云运营模式服务** — 提供 DevSecOps功能的 AWS 云运营模式服务。

在迁移项目的评估阶段，使用发现工具、现有文档或应用程序访谈研讨会来识别和确认这些安全集成点。在中设计和实施工作负载时 AWS 云，请根据您在映射研讨会期间定义的安全与合规策略和流程建立这些集成。

## 验证
<a name="validation"></a>

在实施和集成之后，下一个活动是验证实施。您需要确保设置符合安全性和合规性 AWS 的最佳实践。我们建议您从两个覆盖区域验证安全性：
+ **特定工作负载的漏洞评估和渗透测试**-验证运行的工作负载的操作系统、应用程序、数据库或网络安全。 AWS 服务要进行这些验证，请使用现有工具和测试脚本。在进行这些评估时，必须遵守[AWS 渗透测试客户支持政策](https://aws.amazon.com/security/penetration-testing/)。
+ **AWS****安全最佳实践验证**-验证您的 AWS 实施是否符合架构 AWS 完善的框架和其他选定的基准，例如互联网安全中心 (CIS)。要进行此验证，您可以使用诸如 [Prowler (GitHub) [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)、Service Screener](https://github.com/prowler-cloud/prowler/#requirements-and-installation) [() 或AWS 自助AWS 服务](https://github.com/aws-samples/service-screener-v2)[安全评估](https://github.com/awslabs/aws-security-assessment-solution) (GitHub) 之类的工具和服务。GitHub

记录所有安全与合规调查结果并将其传达给安全团队和领导非常重要。标准化报告模板，并使用它们来促进与相应安全利益相关者的沟通。记录在寻找补救措施期间出现的所有例外情况，并确保相应的安全利益相关者签字。

# 安全性文档
<a name="documentation"></a>

在迁移期间实现安全性和合规性时，必须定义和记录如何在云中实现安全性和合规性。文档应包括以下内容：
+ **安全与合规实施文档** — 创建一个或多个文档，详细说明您的安全与合规性定义、流程、策略、控制措施、配置和工具。请确保这些文档从 AWS 云 角度处理这些方面。在本文档中包括以下内容：
  + 身份访问和管理
  + 事件探测控制和响应
  + 基础设施和网络安全
  + 数据保护
  + 合规
  + 业务连续性和恢复
+ **安全与合规操作手册** — 创建安全与合规操作手册，为云运营团队提供指导。他们应详细说明如何在云端完成安全与合规性任务、活动和变更，以此作为运营要求的一部分。这包括安全与合规性监控、事件管理、验证和持续改进。确保您的运行手册满足您在安全发现和协调领域中确定的要求。
+ **云安全 RACI 矩阵** — 创建一个负责任、负责、咨询、知情 (RACI) 矩阵，定义以下领域的安全与合规责任和利益相关者：
  + 设计和开发
  + 部署和实施
  + 操作

# 安全性与合规性云运营
<a name="cloud-operations"></a>

最后一个领域是*安全性和合规性云运营*。这是一项持续的活动，您可以使用定义的安全和合规操作手册来管理云运营。您还可以构建安全云运营模型，以确定组织中的安全与合规责任。

## 安全与合规云运营模式
<a name="cloud-operating-model"></a>

在此领域中，您可以为安全性定义[云运营模型](apg-gloss.md#glossary-com)。您的云运营模式应满足您在探索研讨会上确定并随后定义为运行手册的要求。您可以通过以下三种方式之一设计安全性与合规性云运营模式：
+ **集中化** — 一种更传统的模式 SecOps ，负责识别和修复整个企业的安全事件。这可能包括查看企业的一般安全态势调查结果，例如补丁和安全配置问题。
+ **分散** — 响应和修复整个业务的安全事件的责任已委托给应用程序所有者和各个业务部门，并且没有中央运营职能。通常，仍然有一个总体安全治理职能来定义策略和原则。
+ **混合 — 两种方法的组合，其中 SecOps 仍有一定程度的责任和所有权来识别和协调安全事件的响应，补救责任由应用程序所有者和各个业务部门承担。**

根据您的安全性和合规性要求、组织成熟度和限制条件选择正确的运营模式非常重要。安全性和合规性要求和限制条件是在发现研讨会上确定的。另一方面，组织成熟度决定了运营安全实践的级别。以下是期限区间的示例：
+ **低**-日志记录是本地的，并且会采取一些或零星的操作。
+ **中级**-将来自不同来源的日志关联起来，并建立自动警报。
+ **高**-存在详细的行动手册，其中包含有关标准化流程响应的详细信息。 从操作和技术上讲，大多数警报响应都是自动化的。

要进一步了解安全性与合规性云运营模式并帮助选择合适的设计，请参阅[云端安全操作注意事项](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/)（AWS 博客文章）。在没有预定义要求的情况下，我们建议您将安全运营中心 (SOC) 设置为云运营模式的一部分。这通常是一种集中式运营模式实践。通过这种方法，您可以将来自多个来源的事件定向到一个集中的团队，然后该团队可以触发操作和响应。这通过云运营实现了安全治理的标准化。 AWS AWS 合作伙伴有能力帮助您构建 SOC 以及定义和实施安全编排、自动化和响应 (SOAR)。 AWS 和 AWS 合作伙伴使用合作伙伴提供的专业服务咨询 AWS 服务、定义的 AWS 模板和第三方工具。

## 正在进行的安全行动
<a name="ongoing-security-operations"></a>

在此域中，使用您定义的安全与合规操作手册持续执行以下任务：
+ **安全与合规性监**控-使用您定义的工具 AWS 服务、指标、标准和频率，对安全事件和威胁进行集中监控。运营团队或 SOC 负责管理这种持续监控，具体取决于您的组织结构。安全监控涉及对大量日志和数据的分析和关联。日志数据来自终端节点、网络 AWS 服务、基础设施和应用程序，存储在中央存储库中，例如 [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 或安全信息和事件管理 (SIEM) 系统。配置警报非常重要，这样您就可以及时手动或自动响应事件。
+ **事件管理**-定义您的基准安全态势。当由于配置错误或外部因素导致偏离预设基线时，请记录事件。确保指派的团队对这些事件做出回应。云端成功的事件响应计划的基础是将人员、流程和工具集成到事件响应计划的每个阶段（准备、运营和事后活动）中。教育、培训和经验对于成功的云事件响应计划至关重要。理想情况下，应在必须处理可能的安全事件之前尽早实施这些措施。有关设置有效的安全事件响应计划的更多信息，请参阅《[AWS 安全事件响应指南》](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html)。
+ **安全验证** — 安全验证包括运行漏洞评估、渗透测试和混沌安全模拟事件测试。应继续定期运行安全验证，尤其是在以下情况下：
  + 软件更新和发布
  + 新发现的威胁，例如恶意软件、病毒或蠕虫
  + 内部和外部审计要求
  + 安全漏洞

  记录安全验证过程并突出显示用于数据收集和报告的人员、流程、日程安排、工具和模板非常重要。这标准化了安全验证。在云端运行安全验证时，请继续遵守[渗透测试的AWS 客户支持政策](https://aws.amazon.com/security/penetration-testing/)。
+ **内部和外部审计** — 进行内部和外部审计，以验证安全性和合规性配置是否符合监管或内部政策要求。根据预定义的时间表定期执行审计。内部审计通常由内部安全和风险小组进行。外部审计由相关机构或标准官员进行。您可以使用 AWS 服务诸如[AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)和[AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)之类的方法来简化审核过程。这些服务可以为安全 IT 审计报告提供相关证据。他们还可以通过自动收集证据，简化符合监管和行业标准的风险和合规管理。这可以帮助您评估被称为*控制*的策略、程序和活动是否有效运行。同样重要的是，要使审计要求与您的托管服务合作伙伴保持一致，以确保合规性。

**安全架构审查** — 从安全性和合规性的角度完成对 AWS 架构的定期审查和更新。每季度或在架构发生变化时审查架构。 AWS 继续发布安全与合规性功能和服务的更新和改进。使用[AWS 安全参考架构和架构](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) AWS 精良的工具来简化这些架构审查。在审查过程结束后，记录您的安全与合规实施情况以及建议的更改非常重要。

## AWS 运营安全服务
<a name="aws-security-services"></a>

在安全性和合规性方面 AWS ，您与您分担责任 AWS 云。[AWS 分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)详细描述了这种关系。*在 AWS 管理云安全的同时，您也要负责云*中的*安全。*您有责任保护自己的内容、基础架构、应用程序、系统和网络，这与保护本地数据中心没有什么不同。根据您使用的服务、将这些服务集成到您的 IT 环境中的方式以及适用的法律和法规，您在安全与合规方面的责任各不 AWS 云 相同。

的优势在 AWS 云 于，它允许您使用 AWS 最佳实践以及安全与合规服务进行扩展和创新。这可以帮助您维护安全的环境，同时只需为所使用的服务付费。您还可以访问高度 AWS 安全的企业组织用来保护其云环境的安全性和合规性服务。

在健全和安全的基础上构建云架构是确保云安全与合规的第一步，也是最好的步骤。但是，您的 AWS 资源只有在您配置时才是安全的。只有在运营层面持续、严格地遵守规定，才能实现有效的安全与合规态势。安全和合规操作可以大致分为五类：
+ 数据保护
+ 身份访问和管理
+ 网络和应用程序保护
+ 威胁检测和持续监控
+ 合规性和数据隐私

AWS 安全与合规服务对应于这些类别，可帮助您满足一系列全面的要求。以下是 AWS 安全与合规核心服务及其功能，分为这些类别。这些服务可以帮助您建立和实施云安全治理。

### 数据保护
<a name="data-protection"></a>

AWS 提供以下服务，可帮助您保护数据、帐户和工作负载免遭未经授权的访问：
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)— 配置、管理和部署用于的 SSL/TLS 证书 AWS 服务。
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)— 在中管理您的硬件安全模块 (HSMs) AWS 云。
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)-创建和控制用于加密数据的密钥。
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) — 利用基于机器学习的安全功能，发现、分类和帮助保护敏感数据。
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)— 在数据库凭证、API 密钥和其他密钥的生命周期中轮换、管理和检索这些凭证。

### Identity and access management
<a name="identity"></a>

以下 AWS 身份服务可帮助您大规模安全地管理身份、资源和权限：
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) — 为您的网络和移动应用程序添加用户注册、登录和访问控制。
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)— 在中使用托管的 Microsoft 活动目录 AWS 云。
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)— 集中管理对多个应用程序 AWS 账户 和业务应用程序的单点登录 (SSO) 访问。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) — 安全地控制对 AWS 服务 资源的访问权限。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)— 对多 AWS 账户人实施基于策略的管理。
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) — 在您的账户之间共享 AWS 资源。

### 网络和应用程序保护
<a name="network-app-protection"></a>

此类服务可帮助您在整个组织的网络控制点实施精细的安全策略。以下内容 AWS 服务 可帮助您检查和过滤流量，以防止在主机级、网络级别和应用程序级边界上进行未经授权的资源访问：
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)— 从一个中心位置配置 AWS 账户 和管理跨应用程序的 AWS WAF 规则。
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)— 为您的虚拟私有云部署基本的网络保护（VPCs）。
+ [Amazon Route 53 解析器 DNS 防火墙](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) — 帮助保护您的出站 DNS 请求免受您的攻击 VPCs。
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)— 使用托管 DDo S 保护来保护您的 Web 应用程序。
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)— 配置和管理亚马逊弹性计算云 (Amazon EC2) 和本地系统，以应用操作系统补丁、创建安全的系统映像和配置操作系统。
+ [Amazon Virtual Private Cloud（Amazon VPC）](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)— 配置一个逻辑上隔离的部分，您可以在 AWS 其中启动您定义的虚拟网络中的 AWS 资源。
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)— 帮助保护您的 Web 应用程序免受常见的 Web 漏洞攻击。

### 威胁检测和持续监控
<a name="detection-monitoring"></a>

以下 AWS 监控和检测服务可帮助您识别 AWS 环境中潜在的安全事件：
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)— 跟踪用户活动和 API 使用情况，以便对您的用户进行治理、运营和风险审计 AWS 账户。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)— 记录和评估您的 AWS 资源配置，以帮助您审计合规性、跟踪资源变化和分析资源安全性。
+ [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)-创建自动响应环境变化的规则，例如隔离资源、使用其他数据丰富事件或将配置恢复到已知良好的状态。
+ [Amazon](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) Detective — 分析和可视化安全数据，以快速找出潜在安全问题的根本原因。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) — 通过智能威胁检测 AWS 账户 和持续监控，帮助保护您的和工作负载。
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) — 自动进行安全评估，以帮助提高部署在其上的应用程序的安全性和合规性 AWS。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)— 无需预置或管理服务器即可运行代码，这样您就可以扩展对事件的编程自动响应。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— 从中心位置查看和管理安全警报并自动执行合规性检查。

### 合规性和数据隐私
<a name="compliance"></a>

以下内容 AWS 服务 全面概述了您的合规状态。他们使用基于 AWS 最佳实践和行业标准的自动合规性检查来持续监控您的环境：
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)— 按需访问 AWS 安全与合规报告并选择在线协议。
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)— 持续审计您的 AWS 使用情况，以简化风险管理方式并保持对法规和行业标准的合规性。