本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 常见问题解答
<a name="faq"></a>

本节提供有关设计和实施零信任架构（ZTA）的常见问题的解答。

## 什么是零信任？
<a name="what-is-zero-trust"></a>

零信任是一种概念模型和一组相关的机制，侧重于为数字资产提供安全控件，这些资产不仅仅或并非从根本上依赖于传统的网络控制或网络边界。而是对网络控制进行了扩充，增加了身份、设备、行为和其他丰富的上下文和信号，让决策更精细、更智能、更灵活且更有利于持续访问。

## 什么 AWS 服务 可以帮助我实现零信任架构？
<a name="what-aws-services"></a>

AWS 提供多种有助于实现零信任的服务，例如， AWS Identity and Access Management (IAM)、亚马逊虚拟私有云（亚马逊 VPC）、亚马逊 VPC Lattice、亚马逊验证权限、亚马逊 API Gateway 和亚马逊 GuardDuty。 AWS Verified Access

## 我怎样才能确保数据安全 AWS？
<a name="data-security-aws"></a>

AWS 提供诸如用于静态和传输中数据加密的 AWS Key Management Service (AWS KMS)、用于网络隔离的 Amazon Virtual Private Cloud (Amazon VPC) 以及 AWS Secrets Manager 用于安全存储和检索凭证的服务。

## 能否在 Zero Trust 环境中 AWS 帮助满足合规性要求？
<a name="compliance-requirements"></a>

是的， AWS 有合规计划和服务来帮助满足各种监管要求。 AWS Artifact 提供对 AWS 合规报告的访问权限，并 AWS Config 支持对合规性的持续监控和评估。

## 是否有任何 AWS 工具或服务可以在 Zero Trust 环境中实现安全自动化？
<a name="tools-for-automating-security"></a>

AWS 提供诸如 AWS Security Hub CSPM集中和自动化安全调查结果的服务，以及用于定义和强制执行安全策略的 AWS Config 规则。

## 如何通过以下方式确保在 Zero Trust 云环境中持续监控和事件响应 AWS
<a name="monitoring-response"></a>

AWS 提供诸如 Amazon CloudWatch 之类的服务， AWS CloudTrail 用于实时监控、记录和分析。有关事件响应最佳实践，您可以使用《 AWS Security Incident Response Guide》。