识别和了解风险
将已确定的风险视为改进机会。
WAFR 的上下文中存在两类风险:高风险问题(HRI)和中等风险问题(MRI)。
-
高风险问题(HRI):可能会对企业造成严重负面影响的架构和运营选择。高风险最佳实践被视为支柱中必须实施的基础实践。它们可能会影响组织的运营、资产和个人。安全支柱中的一个 HRI 示例是未对您的 AWS 账户实施保护。
-
中等风险问题(MRI):可能对企业产生负面影响的选择,但其影响程度低于 HRI。中等风险最佳实践表示可以显著改善工作负载的有利实践。安全支柱中的一个 MRI 示例是未定期审计和轮换凭证。
生成报告
直观识别 HRI 和 MRI 的第一步是生成一份报告,其中显示您所审查的每个工作负载的风险。
AWS Well-Architected Tool(AWS WA Tool)控制面板可提供对工作负载及其关联 HRI 和 MRI 的访问。您还可以纳入已与您共享的工作负载。使用此控制面板,您可以按工作负载、支柱或严重性(高或中等)筛选问题。
在控制面板页面中,您可以查看按支柱或严重性筛选的 HRI 和 MRI 的列表。选择改进项目后,它会直接引导您从 Well-Architected Framework 中找到与之关联的最佳实践。从那里,您可以阅读修复问题所需采取的建议措施以及必要的资源。
您可以从 WA Tool 控制面板中选择生成报告,将所有这些调查发现合并到一份报告中。
我们建议将摘要电子邮件连同报告一起发送给 WAFR 参会者,并总结主要调查发现和建议的改进计划,让他们为下一步做好准备。
管控风险
为了有效地管控风险,定义风险及其可接受程度至关重要。通过风险分析,探索潜在的问题是什么,以及如何知道它们是否就是问题所在。
进行风险评测的主要方法有两种:
-
定量:使用加权客观数据来评测风险在成本超支、资源消耗和进度延误方面的影响。
-
定性:使用与成本或收益的实际值无关的主观数据来衡量概率和整体影响。
在某些情况下,您可能会采用一种折中的方法,将两种方法的优点结合起来,以评估风险的影响。
在根据 HRI 和 MRI 定义评估风险级别时,考虑提出以下问题:
-
风险导致影响的可能性有多大?
-
会对客户产生什么样的影响?
-
结果会对业务产生什么影响?
-
是能够完全消除风险,还是只能降低风险?
-
谁承担风险?
-
谁负责开展消除或降低风险的改进工作?
-
这种结果再次发生的可能性有多大? 它可能造成同样的影响吗?
-
您能确定结果的可能性与复发模式之间的关系吗?
让关键利益相关者或企业主回答这些问题,将有助于您列出需要重点关注的最严重风险以及解决这些风险的预计时间。
风险程度
您可以使用下表来协助您确定风险程度:
| 可能性 x 影响 | 可忽略不计(1) | 小(2) | 中等(3) | 大(4) | 严重(5) |
|---|---|---|---|---|---|
| 几乎可以肯定(5) | 5 | 10 | 15 | 20 | 25 |
| 很可能(4) | 4 | 8 | 12 | 26 | 20 |
| 可能(3) | 3 | 6 | 9 | 12 | 15 |
| 不太可能(2) | 2 | 4 | 6 | 8 | 10 |
| 极不可能(1) | 1 | 2 | 3 | 4 | 5 |
以小组形式开展工作,共同探讨 HRI 和 MRI 及其给企业带来的风险。创建需要解决的 HRI 列表。根据业务关键程度对风险进行排名,以确定优先级。
