# SEC01-BP03 识别并验证控制目标
根据合规性要求以及从威胁模型中发现的风险,获得并验证需要应用于工作负载的控制目标和控制措施。持续验证控制目标和控制措施可帮助您衡量风险缓解措施的有效性。
**期望结果:**针对业务明确定义了安全控制目标,并且这些目标符合合规性要求。通过自动化方法以及策略来实施和强制执行控制措施,并持续评估这些措施在达成目标方面的有效性。收集某个时间点以及一段时间内的有效性证据,并能够随时报告给审核人员。
**常见反模式:**
+ 没有充分了解用于确保业务安全性的监管要求、市场期望和行业标准
+ 网络安全框架和控制目标与业务要求不一致
+ 虽然实施了控制措施,但没有与控制目标保持高度一致,也难于衡量
+ 不使用自动化方法来报告控制措施的有效性
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
根据安全控制目标,您可以利用许多常见的网络安全框架来奠定基础。根据业务考虑监管要求、市场期望和行业标准,确定哪些框架能够很好地满足需求。这些框架的例子包括 [AICPA SOC 2](https://aws.amazon.com/compliance/soc-faqs/)、[HITRUST](https://aws.amazon.com/compliance/hitrust/)、[PCI-DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)、[ISO 27001](https://aws.amazon.com/compliance/iso-27001-faqs/) 和 [NIST SP 800-53](https://aws.amazon.com/compliance/nist/)。
对于所确定的控制目标,了解所使用的 AWS 服务如何帮助实现这些目标。使用 [AWS Artifact](https://aws.amazon.com/artifact/) 来查找与目标框架相符的文档和报告,这些文档和报告介绍了 AWS 承担的责任范围,并且提供了针对您负责的其余责任范围的相关指导。如需进一步了解与各种框架控制声明对应的服务特定指导,请参阅《[AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf)》。
在定义用于实现目标的控制措施时,请使用预防性控制措施来规范执行方法,并使用检测性控制措施来自动执行缓解方法。在您的 AWS Organizations 中,使用[服务控制策略(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)来协助防范不合规的资源配置和操作。在 [AWS Config](https://aws.amazon.com/config/) 中实施规则,用于监控并报告不合规的资源,然后在确信规则的行为正确无误时,将规则切换为强制执行模式。要部署与网络安全框架相一致的预定义托管规则集,请优先评估使用 [AWS Security Hub CSPM 标准](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)。AWS 基础服务最佳实践(FSBP,Foundational Service Best Practice)标准和 CIS AWS 基础基准可作为很好的起点,用于制定与多种标准框架所共有的多个目标相一致的控制措施。如果 Security Hub CSPM 实质上没有所需的控制检测措施,则可以使用 [AWS Config 合规包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)予以补充。
使用 AWS Global Security and Compliance Acceleration(GSCA)团队推荐的 [APN 合作伙伴服务包](https://aws.amazon.com/partners/programs/gsca/bundles/),可以根据需要,从安全顾问、咨询机构、证据收集和报告系统、审核人员以及其他补充性服务那里获取协助。
### 实施步骤
1. 评估常见的网络安全框架,让控制目标与所选框架保持一致。
1. 使用 AWS Artifact 获取所选框架的相关指导和责任文档。了解在责任共担模式下,合规性的责任有哪些归属于 AWS,哪些由您承担。
1. 使用 SCP、资源策略、角色信任策略和其他防护机制,防止出现不合规的资源配置和操作。
1. 评估与您的控制目标相一致的 Security Hub CSPM 标准和 AWS Config 合规包的部署。
## 资源
**相关最佳实践:**
+ [SEC03-BP01 定义访问要求](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html)
+ [SEC04-BP01 配置服务和应用程序日志记录](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html)
+ [SEC07-BP01 了解数据分类方案](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html)
+ [OPS01-BP03 评估治理要求](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html)
+ [OPS01-BP04 评估合规性要求](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html)
+ [PERF01-BP05 使用策略和参考架构](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html)
+ [COST02-BP01 根据组织的要求制定各种策略](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html)
**相关文档:**
+ [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf)
**相关工具:**
+ [AWS Artifact](https://aws.amazon.com/artifact/)