本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
落实:为您的组织准备好成熟的云安全状况
为了推进将运营负载部署到云的过程,重点在于人员、流程和技术的协调。这在云环境中尤其重要,因为云的流程和技能可能与本地运营不同。在本节中,您将使用框架来协调人员、流程和技术,然后确认该框架已帮助您实现预期的成果。
AWS 云采用框架
AWS 云采用框架 (AWS CAF) 通过创新使用 AWS 服务 和功能,帮助您加快业务成果。 AWS CAF 确定了支持成功云转型的六个具体组织视角:业务、人员、治理、平台、安全和运营。每个视角都包含可以改善您的云准备情况并帮助您加快云转型之旅的功能。
下图显示了 AWS CAF 中的六个视角以及每个视角中的功能。有关更多信息,请参阅《 AWS Cloud Adoption Framework 概览》中的基础功能。
预期成果
当您使用 AWS CAF 来协调员工、流程和技术时,您可以期望实现以下成果:
-
DevSecOps 管道和流程 — 使用集成安全工具实施 DevOps 管道可以帮助您更安全地部署基础设施即代码 (IaC)。您可以在管道过程中实现代码扫描和安全检查,例如 cfn_nag
(GitHub),它是一个开源静态代码分析器。 -
标签和资产管理:标签可以帮助您更高效、更一致地管理云的资源。有关更多信息,请参阅标记您的 AWS 资源。制定能够适应云不断变化的性质的动态资产管理策略非常重要。AWS Systems Manager Inventory 可帮助您分配标签,以便快速搜索、管理和识别您的资源。
-
监控和侦探集成 — 建立一种将警报从云端发送到本地安全运营中心 (SOCs) 以及安全信息和事件管理 (SIEM) 系统的方法至关重要。Amazon GuardDuty 是一项持续的安全监控服务,可分析和处理日志,以识别您的 AWS 环境中意外和可能未经授权的活动。它还与许多第三方工具集成。
-
云事件响应规划与计划:务必确保负责处理云提醒的人员熟悉摄取这些警报的流程,并知晓如何响应云提醒(相较于本地提醒)。要提高事件响应能力,请培训人员以使用 Amazon Detective 进行日志分析。Amazon Detective 可帮助您分析、调查和识别安全调查发现或可疑活动的根本原因。Amazon Detective 应纳入事件响应计划。
-
云漏洞管理:管理云漏洞的流程与本地环境有所不同。除了传统的漏洞管理外,您还必须评测基础设施代码层。Amazon Inspector 是一项自动化漏洞管理服务,它会持续评估您的资源是否存在漏洞和意外的网络暴露。
-
云状况管理:如评测部分所述,云状况管理是云安全的一个重要方面。您可以使用自动 AWS Security Hub CSPM 执行安全最佳实践检查,并评估所有云端的整体状况 AWS 账户。
-
云安全培训:必须为员工提供适当的培训,使其能够熟练掌握云安全。这包括提供资源访问权限和分配时间让员工获得必要的知识和技能。 AWS 提供了许多用于提高技能和教育的培训资源,例如AWS 技能生成器
。
