本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 选择安全模型
您可以从 AWS的各种安全模型或方法中进行选择。方法的选择以及最合适的模型取决于您的受众、目标业务成果和整体业务流程。可以混合使用多种模型。
**Topics**
+ [
## 架构模型
](#architectural-model)
+ [
## 成熟度模型
](#maturity-model)
+ [
## 治理模型
](#governance-model)
每种模型都有其自身的优缺点。重要的是考虑哪种方法最适合您的组织。在实现基础设施现代化和采用云策略的过程中,尽早让安全专业人员参与进来。您选择的模型会对组织内部的角色与职责产生重大影响。
## 架构模型
下图显示 [AWS Security Reference Architecture](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/architecture.html)。这种架构方法为安全模型提供了蓝图,最适合在您与组织内的技术团队互动时使用。其有助于设定理想的未来状态目标,同时符合众多合规性和 AWS 框架。
![\[AWS 安全参考架构的架构图\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/aws-sra-architecture.png)
**架构模型的优点:**
+ 符合《健康保险流通与责任法案》(HIPAA)和健康信息信任联盟共同安全框架(HITRUST CSF)要求
+ 提供架构视角
+ 符合大型企业的云战略和指导原则
+ 与[AWS 云采用框架 (AWS CAF)](https://aws.amazon.com/cloud-adoption-framework/) 保持一致
+ 符合 [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/)
**架构模型的缺点:**
+ 侧重于技术而不是侧重于业务
## 成熟度模型
[AWS 安全成熟度模型](https://maturitymodel.security.aws.dev/en/model/)方法侧重于通过优先实施安全措施来管理和降低风险。这种方法非常适合安全主管 CISOs,但它不以业务为中心。
**成熟度模型的优点:**
+ 侧重于安全
+ 是侧重于使用基于敏捷实施方法的模型
+ 帮助您快速降低风险
+ 与[AWS 云采用框架 (AWS CAF)](https://aws.amazon.com/cloud-adoption-framework/) 保持一致
**成熟度模型的缺点:**
+ 侧重于技术而不是侧重于业务
## 治理模型
[Cloud Foundation on AWS](https://docs.aws.amazon.com/whitepapers/latest/establishing-your-cloud-foundation-on-aws/capabilities.html) 模型使用治理、风险管理与合规(GRC)方法来帮助组织满足安全与合规要求。它定义了您的云环境应遵循的总体策略。此模型中的功能可帮助您定义操作项、定义风险偏好和调整内部策略。
![\[云基础关于 AWS 治理模型的各个方面。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/governance-model.png)
Cloud Foundation 模型是一份能力和治理指南,可帮助您构建和发展 AWS 云 环境。它基于一组定义、场景、指引和自动化。该指南包括建立 AWS 云 环境的人员、流程和技术等方面,囊括了云基础必不可少的六类功能:
+ 治理、风险管理与合规
+ 操作
+ 安全性
+ 业务连续性
+ 财务
+ Infrastructure
该指南还提供了每种功能的示例、时间线和延伸阅读资料。
**治理模型的优点:**
+ 具有广泛的技术关注点
+ 旨在提高可靠性
+ 采用运营方法
**治理模型的缺点:**
+ 侧重于技术而不是侧重于业务