本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 主動性控制
<a name="proactive-controls"></a>

*主動控制*是旨在防止建立不合規資源的安全控制。這些控制可以減少回應式和偵測性控制處理的安全事件數量。這些控制可確保已部署的資源在部署之前符合要求；因此，不存在需要回應或修復的偵測事件。

例如，您可能具有一個偵測性控制，當 Amazon Simple Storage Service (Amazon S3) 儲存貯體變成可公開存取時通知您。您也可能具有可修復此問題的回應式控制。雖然您已具有這兩個控制，但是可以新增主動性控制來多加一道保護。透過 AWS CloudFormation，主動控制可以防止建立任何已啟用公開存取的 S3 儲存貯體。威脅執行者仍然可以繞過此控制，並在 CloudFormation 之外部署或修改資源。在這種情況下，偵測性和回應式控制將修復安全事件。

**Topics**
+ [目標](#proactive-objectives)
+ [流程](#proactive-process)
+ [使用案例](#proactive-use-cases)
+ [技術](#proactive-technology)
+ [業務成果](#proactive-business-outcomes)

## 目標
<a name="proactive-objectives"></a>
+ 主動性控制可協助您改進安全操作和品質程序。
+ 主動性控制可以協助您遵守安全政策、標準，以及法規或合規義務。
+ 主動性控制可以防止建立不合規資源。
+ 主動性控制可以減少安全調查結果的數量。
+ 主動性控制提供了另一層保護，防止威脅執行者繞過預防性控制並嘗試部署不合規資源。
+ 主動性控制與預防性、偵測性和回應式控制相結合，可以協助您解決潛在的安全事件。

## 流程
<a name="proactive-process"></a>

主動性控制可補充預防性控制。主動性控制可降低組織的安全風險，並強制部署合規資源。這些控制會在建立或更新資源之前評估資源合規性。主動性控制通常透過使用 CloudFormation 勾點來實作。如果資源未通過主動性控制驗證，您可以選擇使資源部署失敗或顯示警告訊息。以下是建置主動性控制的一些秘訣和最佳實務：
+ 確保主動性控制已映射至組織的合規要求。
+ 確保主動性控制遵循關聯服務的安全最佳實務。
+ 使用 CloudFormation StackSets 或其他解決方案，在多個 AWS 區域 或 帳戶中部署主動控制。
+ 確保與主動性控制關聯的警告或失敗訊息明確且清晰。這可協助開發人員了解資源未通過評估的原因。
+ 建置新的主動式控制項時，在觀察模式下啟動。這表示您傳送警告訊息，而非使資源部署失敗。這可協助您了解主動性控制的影響。
+ 在 Amazon CloudWatch Logs 中啟用日誌記錄以進行主動性控制。
+ 如果您需要監控特定主動性控制的調用，請使用 Amazon EventBridge 規則並訂閱 CloudFormation 勾點的調用事件。

## 使用案例
<a name="proactive-use-cases"></a>
+ 防止部署不合規資源
+ 符合合規要求
+ 透過在部署之前強制修復安全問題來提高程式碼品質
+ 減少部署之後與修復安全問題關聯的營運停機時間

## 技術
<a name="proactive-technology"></a>

### CloudFormation 勾點
<a name="cloudformation-hooks"></a>

[AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) 可協助您設定 AWS 資源、快速且一致地佈建資源，以及在整個 AWS 帳戶 和 區域的生命週期進行管理。[CloudFormation 勾點](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/hooks.html)會在部署資源之前，主動評估 CloudFormation 資源的組態。如果找到不合規資源，則會傳回失敗狀態。根據勾點失敗模式，CloudFormation 可能會使操作失敗或顯示警告，以允許使用者繼續部署。您可以使用可用的勾點，也可以開發自己的勾點。

### AWS Control Tower
<a name="aws-control-tower"></a>

[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 可協助您設定和管理 AWS 多帳戶環境，並遵循規範性最佳實務。 AWS Control Tower 提供預先設定的[主動控制](https://docs.aws.amazon.com/controltower/latest/userguide/proactive-controls.html)，您可以在登陸區域中啟用這些控制。如果您的登陸區域是使用 設定 AWS Control Tower，您可以使用這些選用的主動控制作為組織的起點。您可以視需要在 CloudFormation 中建置額外的自訂主動性控制。

## 業務成果
<a name="proactive-business-outcomes"></a>

### 減少人工和錯誤
<a name="proactive-human-error"></a>

主動性控制可降低導致部署不合規資源的人為錯誤風險。這些控制還可減少開發週期後期的人工，因為它們使開發人員在部署之前考慮資源安全性。這將*左移*實務套用於建置安全資源，因為它強制在開發生命週期的早期實現合規性。

### 降低了成本
<a name="proactive-reduce-costs"></a>

在部署之後修正安全問題通常成本較高。在開發週期的早期識別並修正問題可降低開發成本。

### 節省時間
<a name="proactive-time-savings"></a>

由於主動性控制可防止部署不合規資源，因此可以減少您用於分類和修正安全問題的時長。它們還包括安全調查結果的數量，偵測性控制將在開發週期後期識別這些安全調查結果。

### 法規合規
<a name="proactive-compliance"></a>

如果您的組織需要遵守內部或產業法規，主動性控制可以協助您保持合規並避免違規處罰。

### 降低風險
<a name="proactive-risk-reduction"></a>

主動性控制可協助開發人員部署合規並更安全地建置資源，因此主動性控制可降低組織的安全風險。