本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
可操作:让您的组织为成熟的云安全态势做好准备
为了推进将运营负载部署到云端的过程,必须将重点放在人员、流程和技术的协调上。这在云环境中尤其重要,因为流程和技能可能与本地运营不同。在本节中,您将使用框架来协调您的人员、流程和技术,然后确认该框架已帮助您实现预期成果。
AWS 云采用框架
AWS 云采用框架 (AWS CAF) 通过创新使用 AWS 服务 和功能,帮助您加快业务成果。 AWS CAF 确定了支持成功云转型的六个具体组织视角:业务、人员、治理、平台、安全和运营。每个视角都包含可以改善您的云就绪状态并帮助您加快云转型之旅的功能。
下图显示了 AWS CAF 中的六个视角以及每个视角中的功能。有关更多信息,请参阅《 AWS 云采用框架概述》中的基础功能。
预期成果
当您使用 AWS CAF 来协调员工、流程和技术时,您可以期望实现以下成果:
-
DevSecOps 管道和流程 — 使用集成安全工具实施 DevOps 管道可以帮助您更安全地部署基础设施即代码 (IaC)。您可以在管道过程中实现代码扫描和安全检查,例如 cfn_nag
(GitHub),它是一个开源静态代码分析器。 -
标签和资产管理 — 标签可以帮助您更高效、更一致地管理云中的资源。有关更多信息,请参阅标记您的 AWS 资源。制定能够适应云不断变化的性质的动态资产管理策略非常重要。AWS Systems Manager 库存可帮助您分配标签,以便您可以快速搜索、管理和识别您的资源。
-
监控和侦探集成 — 建立一种将警报从云端发送到本地安全运营中心 (SOCs) 以及安全信息和事件管理 (SIEM) 系统的方法至关重要。Amazon GuardDuty 是一项持续的安全监控服务,可分析和处理日志,以识别您的 AWS 环境中意外和可能未经授权的活动。它还与许多第三方工具集成。
-
云事件响应计划和计划 — 与本地警报相比,重要的是要确保负责处理云警报的人员熟悉接收这些警报的过程,并且知道如何响应云警报。要提高事件响应能力,请培训人员使用 Amazon Detective 进行日志分析。Amazon Detective 可帮助您分析、调查和确定安全发现或可疑活动的根本原因。Amazon Detective 应该成为事件响应计划的一部分。
-
云漏洞管理-管理云中漏洞的过程与本地环境不同。除了传统的漏洞管理外,您还必须评估基础设施代码层。Amazon Inspec tor 是一项自动漏洞管理服务,可持续评估您的资源是否存在漏洞和意外网络泄露。
-
云状态管理 — 如评估部分所述,云状态管理是云安全的一个重要方面。您可以使用自动 AWS Security Hub 执行安全最佳实践检查,并评估所有云端的整体状况 AWS 账户。
-
云安全培训 — 必须为员工提供适当的培训,使他们能够熟练掌握云安全。这包括提供资源访问权限和分配时间让员工获得必要的知识和技能。 AWS 提供了许多用于提高技能和教育的培训资源,例如AWS 技能生成器
。
