本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 安全性和合規工作流的網域
<a name="domains"></a>

本節詳細說明安全與合規工作流負責的網域。在遷移專案的調動階段，這些網域有助於加速安全與合規的規劃和實作 AWS：
+ [安全探索和一致性](discovery-and-alignment.md)
+ [安全架構映射](mapping.md)
+ [安全實作、整合和驗證](implementation-integration-and-validation.md)
+ [安全性文件](documentation.md)
+ [安全與合規雲端操作](cloud-operations.md)

請務必在調動階段處理這些網域，以便在後續遷移和現代化階段保護遷移活動。

# 安全探索和一致性
<a name="discovery-and-alignment"></a>

調動遷移專案時，安全與合規工作流的第一個網域是*安全探索和一致性*。此網域旨在協助您的組織達成下列目標：
+ 訓練安全與合規工作流，了解 AWS 安全服務、功能和合規遵循
+ 探索您的安全與合規要求和目前的實務。從基礎設施和操作的角度考慮這些要求，包括：
  + 目標結束狀態的安全挑戰和驅動因素
  + 雲端安全團隊技能組合
  + 安全風險與合規政策、組態、控制和護欄
  + 安全風險偏好和基準
  + 現有和潛在的安全工具

## 沉浸式日研討會
<a name="immersion-day-workshops"></a>

若要符合這些目標，請使用安全和合規沉浸式日。*沉浸日*是涵蓋一系列安全相關主題的研討會，例如：
+ [AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS 安全服務](https://aws.amazon.com/products/security/)
+ [AWS 安全參考架構 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)
+ [AWS 合規](https://aws.amazon.com/compliance/)
+  AWS Well-Architected 架構[的安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) 

沉浸式日研討會有助於為您的安全團隊建立知識基準。它會訓練他們有關 AWS 安全服務和安全和合規最佳實務。 AWS 解決方案架構師、 AWS 專業服務和 AWS 合作夥伴可協助您執行這些互動式研討會。他們使用標準簡報平台、AWS 實驗室和白板活動來協助準備您的團隊。

## 探索研討會
<a name="discovery-workshops"></a>

在沉浸式日研討會之後，您會執行多個深入探索安全和合規探索研討會。這些有助於您的團隊探索基礎設施、應用程式和操作目前的安全、風險和合規 (SRC) 要求。您可以透過下列觀點來分析這些需求：人員、程序和技術。以下是每個觀點的探索領域。

### 人員觀點
<a name="people-perspective"></a>
+ **組織結構 **– 了解目前的安全和合規工作流程結構和責任。
+ **功能和技能 **– 具備 和 的實用知識 AWS 服務 和技能，以實現雲端安全與合規功能。這包括探索、規劃、實作和操作。
+ **負責、負責、諮詢、告知 (RACI) 矩陣** – 定義組織內目前安全與合規活動的角色和責任。
+ **文化 **– 了解目前的安全與合規文化。在建置、設計、實作和操作階段中優先考慮安全性和合規性。將開發安全操作 (DevSecOps) 引入雲端安全與合規文化。

### 程序觀點
<a name="process-perspective"></a>
+ **實務** – 定義並記錄要建置、設計、實作和操作的目前安全與合規程序。程序包括：
  + 身分存取和管理
  + 事件偵測控制和回應
  + 基礎設施和網路安全
  + 資料保護
  + 合規
  + 業務持續性和復原
+ **實作文件 **– 文件安全與合規政策、控制組態、工具文件和架構文件。這些文件需要涵蓋基礎設施、網路、應用程式、資料庫和部署區域的安全性和合規性。
+ **風險文件** – 建立概述風險偏好和閾值的資訊安全風險文件。
+ **驗證 **– 建立內部和外部安全驗證和稽核要求。
+ **執行手冊** – 開發操作執行手冊，涵蓋安全性和合規性的目前標準實作和控管程序。

### 技術觀點
<a name="technology-perspective"></a>
+ **服務和工具** – 使用工具來驗證您的安全性和合規狀態，並強制執行和管理目前的 IT 環境。為下列類別建立工具：
  + 身分存取和管理
  + 事件偵測控制和回應
  + 基礎設施和網路安全
  + 資料保護
  + 合規
  + 業務持續性和復原

在 AWS 安全性探索研討會期間，您可以使用標準化資料收集範本和問卷來收集資料。在由於資料清晰度不足或資料過時而無法提供資訊的情況下，您可以使用遷移探索工具來收集應用程式和基礎設施層級的安全性資訊。如需您可以使用的探索工具清單，請參閱 AWS 規範指引中的[探索、規劃和建議遷移工具](https://aws.amazon.com/prescriptive-guidance/migration-tools/migration-discovery-tools/)。此清單提供每個工具探索功能和用量的詳細資訊。它也會比較工具，以協助您選擇最佳工具來滿足您的 IT 環境需求和限制條件。

在初始安全性評估期間，強烈建議您從威脅建模開始。這可協助您識別可能的威脅和現有的措施。安全、合規和風險也可能有預先定義和文件記錄的要求。如需詳細資訊，請參閱[建置器的威脅建模研討會 ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)(AWS 訓練），並參閱[如何處理威脅建模 ](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)(AWS 部落格文章）。此方法可協助您重新考慮 中部署、實作和控管的安全和合規策略 AWS 雲端。

# 安全架構映射
<a name="mapping"></a>

完成安全探索和對齊網域後，下一步是完成*安全架構映射網域*。此網域是將探索到的安全和合規要求映射到 AWS 雲端 安全服務的研討會程序。它還使您的架構和操作符合 AWS 安全和合規最佳實務。研討會會從人員、程序和技術的角度映射所有要求，以涵蓋下列項目：
+ AWS 基礎設施
  + AWS 帳戶、基礎設施和網路保護
  + 資料保護
  + 合規
  + 事件偵測和回應
  + 身分與存取管理
  + 業務持續性和復原
+ 上的應用程式 AWS
  + 遵循 的最佳實務 AWS 服務 ，以協助保護您的應用程式
  + 應用程式、資料庫、作業系統和資料的存取控制
  + 作業系統保護
  + 應用程式、資料庫和資料保護
  + 事件偵測和回應
  + 合規
  + 應用程式業務持續性和復原

當您完成安全架構映射網域時，請考慮定義的風險偏好、團隊結構、團隊技能組合和能力、安全程序、安全政策、安全控制、工具、安全操作，以及其他安全需求和限制。整體而言，根據產業標準和最佳實務，安全架構映射可為組織提供系統性方法來管理安全風險、維持合規性，以及持續改善其安全狀態。

安全架構映射程序使用[AWS 安全參考架構 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)、 AWS Well-Architected Framework [的安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html)、 AWS Well-Architected Framework 的[遷移鏡頭](https://docs.aws.amazon.com/wellarchitected/latest/migration-lens/security.html)，以及[AWS 安全](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/welcome.html)簡介白皮書。這些文件可做為指引參考，協助您遵循雲端安全與合規的 AWS 最佳實務。

透過在研討會中使用標準化映射範本，您可以將需求映射到目標結束狀態。您可以反白顯示實現目標結束狀態所需的工具 AWS 服務、程序、政策、控制項和變更。

執行安全架構映射研討會時，您可以使用 AWS Professional Services、 AWS Security Solution Architects 或 AWS Partners。這些資源可協助您加速並促進研討會。安全架構映射研討會可以包含在以[體驗為基礎的加速 (EBA) 方](https://aws.amazon.com/blogs/mt/level-up-your-cloud-transformation-with-experience-based-acceleration-eba/)中，該方由 AWS 解決方案架構師、 AWS 客戶解決方案管理員或 AWS 合作夥伴領導。EBA 方做為加速器，協助您在遷移和現代化最佳實務之後 AWS 建立堅實 AWS 雲端 的基礎。

# 安全實作、整合和驗證
<a name="implementation-integration-and-validation"></a>

在映射您的安全、風險和合規要求之後，下一個網域是*安全實作、整合和驗證*。根據識別的需求，選擇適當的安全控制和措施，以有效地降低風險。這可能包括加密、存取控制、入侵偵測系統或防火牆。將入侵偵測和預防系統、端點保護和身分管理等安全解決方案整合到現有的 IT 基礎設施，以提供全面的安全涵蓋範圍。定期執行安全評估，包括漏洞掃描、滲透測試和程式碼檢閱，以驗證安全控制的有效性，並識別弱點或差距。透過專注於安全實作、整合和驗證，組織可以加強其安全狀態、降低安全違規的可能性，並證明符合法規要求和產業標準。

## 實作
<a name="implementation"></a>

首先，更新您目前安全、風險和合規閾值或偏好的文件。這可讓您在雲端實作規劃的安全與合規要求、控制、政策和工具。只有在您已定義現有風險登錄檔和偏好時，才需要此步驟，這將在探索研討會期間識別。

接著，在雲端實作規劃的安全與合規要求、控制、政策和工具。建議您依照下列順序實作這些項目：基礎設施 AWS 服務、作業系統，然後是應用程式或資料庫。使用下表中的資訊，確認您已解決所有必要的安全與合規領域。


|  |  | 
| --- |--- |
| **Area** | **安全與合規要求** | 
| 基礎設施 |   AWS 帳戶    登陸區域   預防性控制   偵測性控制     網路分段    存取控制    加密    記錄、監控和提醒   | 
| AWS 服務 |   AWS 服務 組態    執行個體   儲存   網路     存取控制    加密    更新和修補程式    記錄、監控和提醒   | 
| 作業系統 |   防毒    惡意軟體和蠕蟲防護    Configuration    網路保護    存取控制    加密    更新和修補程式    記錄、監控和提醒   | 
| 應用程式或資料庫 |   Configuration    程式碼和結構描述    存取控制    加密    更新和修補程式    記錄、監控和提醒   | 

## 整合
<a name="integration"></a>

安全實作通常需要與下列項目整合：
+ **網路 –** 內部與外部的網路 AWS 雲端
+ **混合 IT 環境 **– 以外的 IT 環境 AWS 雲端，例如內部部署、公有雲端、私有雲端和主機代管
+ **外部軟體或服務 **– 由獨立軟體廠商 (ISVs) 管理且未託管在您的環境中的軟體和服務。
+ **雲端操作模型服務** – 提供 DevSecOps 功能的 AWS 雲端操作模型服務。

在遷移專案的評估階段，請使用探索工具、現有文件或應用程式面試研討會來識別和確認這些安全整合點。在 中設計和實作工作負載時 AWS 雲端，請根據您在映射研討會期間定義的安全和合規政策和程序建立這些整合。

## 驗證
<a name="validation"></a>

實作和整合之後，下一個活動是驗證實作。您確保設定符合安全性和合規性的 AWS 最佳實務。我們建議您從兩個涵蓋區域驗證安全性：
+ **工作負載特定的漏洞評估和滲透測試 **- 驗證在 上執行之工作負載的作業系統、應用程式、資料庫或網路安全 AWS 服務。為了執行這些驗證，請使用現有的工具和測試指令碼。執行這些評估時，請務必遵守[AWS 滲透測試客戶支援政策](https://aws.amazon.com/security/penetration-testing/)。
+ **AWS** **安全最佳實務驗證** - 驗證您的 AWS 實作是否符合 AWS Well Architected Framework 和其他選取的基準，例如網際網路安全中心 (CIS)。對於此驗證，您可以使用工具和服務，例如 [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)、[Prowler](https://github.com/prowler-cloud/prowler/#requirements-and-installation) (GitHub)、[AWS Service Screener](https://github.com/aws-samples/service-screener-v2) (GitHub) 或[AWS 自助式安全評估](https://github.com/awslabs/aws-security-assessment-solution) (GitHub)。

請務必將所有安全與合規調查結果記錄並傳達給安全團隊和領導者。標準化報告範本，並使用它們來促進與個別安全利益相關者的通訊。記錄在尋找修復期間所做的所有例外狀況，並確保各自的安全利益相關者簽署。

# 安全性文件
<a name="documentation"></a>

在遷移期間調動安全與合規時，請務必定義並記錄如何在雲端實作安全與合規。文件應包含下列項目：
+ **安全與合規實作文件** – 建立一或多個文件，詳細說明您的安全與合規定義、程序、政策、控制、組態和工具。請確定這些文件從 AWS 雲端 角度處理這些層面。在本文件中包含下列項目：
  + 身分存取和管理
  + 事件偵測控制和回應
  + 基礎設施和網路安全
  + 資料保護
  + 合規
  + 業務持續性和復原
+ **安全與合規 Runbook** – 建立可指導雲端營運團隊的安全與合規營運 Runbook。他們應該詳細說明如何在雲端完成安全與合規任務、活動和變更，做為操作需求的一部分。這包括安全和合規監控、事件管理、驗證和持續改進。請確定您的 Runbook 處理您在安全探索和對齊網域期間識別的需求。
+ **雲端安全 RACI 矩陣** – 建立負責、負責、已諮詢、明智 (RACI) 矩陣，定義下列領域的安全與合規責任和利益相關者：
  + 設計和開發
  + 部署和實作
  + 作業

# 安全與合規雲端操作
<a name="cloud-operations"></a>

最後一個網域是*安全和合規雲端操作*。這是一個持續的活動，您可以在其中使用定義的安全和合規操作 Runbook 來管理雲端操作。您也可以建置安全雲端操作模型，以判斷組織中安全與合規的責任。

## 安全與合規雲端操作模型
<a name="cloud-operating-model"></a>

在此網域中，您可以定義安全的[雲端操作模型](apg-gloss.md#glossary-com)。您的雲端操作模型應該解決您在探索研討會期間識別的要求，以及稍後定義為 Runbook 的要求。您可以透過以下三種方式之一來設計安全與合規雲端操作模型：
+ **集中式** – 較傳統的模型，其中 SecOps 負責識別和修復整個企業的安全事件。這可能包括檢閱業務的一般安全狀態問題清單，例如修補和安全組態問題。
+ **分散式 – **回應和修復整個業務中安全事件的責任已委派給應用程式擁有者和個別業務單位，而且沒有中央操作功能。一般而言，仍有定義政策和原則的整體安全控管函數。
+ **混合** – 這兩種方法的混合，其中 SecOps 在識別和協調對安全事件的回應方面仍然具有一定的責任和擁有權，而且修復的責任由應用程式擁有者和個別業務單位所擁有。

請務必根據您的安全和合規要求、組織成熟度和限制條件，選擇正確的操作模型。在探索研討會期間已識別安全與合規要求和限制。另一方面，組織成熟度會定義營運安全實務的層級。以下是成熟度範圍的範例：
+ **低** – 記錄是本機，並採取一些或零星動作。
+ **中級 **– 來自不同來源的日誌相互關聯，並建立自動提醒。
+ **高** – 詳細手冊存在，並包含標準化程序回應的詳細資訊。 在操作和技術上，大多數警示回應都是自動化的。

若要進一步了解安全與合規雲端操作模型，並協助選擇適當的設計，請參閱[雲端安全操作的考量 ](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/)(AWS 部落格文章）。在沒有預先定義要求的情況下，建議您將安全營運中心 (SOC) 設定為雲端操作模型的一部分。這通常是集中式操作模型實務。使用此方法，您可以將多個來源的事件導向至集中式團隊，然後觸發動作和回應。這會透過雲端操作標準化安全控管。 AWS 和 AWS 合作夥伴具有 功能，可協助您建置 SOC，並定義和實作安全協調、自動化和回應 (SOAR)。 AWS 和 AWS 合作夥伴使用來自 AWS 合作夥伴的專業服務諮詢、定義的範本 AWS 服務和第三方工具。

## 持續的安全操作
<a name="ongoing-security-operations"></a>

在此網域中，使用您定義的安全和合規操作 Runbook 持續執行下列任務：
+ **安全與合規監控** – 使用您定義的工具 AWS 服務、指標、條件和頻率，集中監控安全事件和威脅。操作團隊或 SOC 會根據組織的結構管理此持續監控。安全性監控涉及大量日誌和資料的分析和相互關聯。日誌資料來自端點、網路、基礎設施和應用程式 AWS 服務，並存放在集中式儲存庫中，例如 [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 或安全資訊和事件管理 (SIEM) 系統。請務必設定提醒，以便您可以手動或自動及時回應事件。
+ **事件管理** – 定義您的基準安全狀態。當發生與預設基準的偏差時，無論是透過組態錯誤或外部因素，記錄事件。請確定指派的團隊回應這些事件。雲端中成功事件回應計畫的基礎是將人員、程序和工具整合到事件回應計畫的每個階段 （準備、操作和事件後活動）。教育、訓練和經驗對於成功的雲端事件回應計劃至關重要。理想情況下，這些會在必須處理可能的安全事件之前妥善實作。如需設定有效安全事件回應計劃的詳細資訊，請參閱[AWS 安全事件回應指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html)。
+ **安全驗證** – 安全驗證涉及執行漏洞評估、滲透測試和混沌安全模擬事件測試。安全驗證應繼續定期執行，尤其是在下列案例中：
  + 軟體更新和版本
  + 新識別的威脅，例如惡意軟體、病毒或蠕蟲
  + 內部和外部稽核要求
  + 安全漏洞

  請務必記錄安全驗證程序，並強調資料收集和報告的人員、程序、排程、工具和範本。這會標準化安全性驗證。在雲端執行安全驗證時，請繼續遵循[AWS 客戶支援政策進行滲透測試](https://aws.amazon.com/security/penetration-testing/)。
+ **內部和外部稽核** – 執行內部和外部稽核，以驗證安全與合規組態符合法規或內部政策要求。根據預先定義的排程定期執行稽核。內部稽核通常由內部安全與風險團隊執行。外部稽核是由相關機構或標準主管執行。您可以使用 [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)和 AWS 服務等 [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)來促進稽核程序。這些服務可以提供安全 IT 稽核報告的相關證據。他們也可以透過自動化證據收集來簡化具有法規和產業標準的風險和合規管理。這可協助您評估稱為*控制項*的政策、程序和活動是否有效運作。也請務必將稽核要求與受管服務合作夥伴保持一致，以確保合規性。

**安全架構檢閱** – 從安全和合規的角度完成 AWS 架構的定期檢閱和更新。每季或發生架構變更時檢閱架構。 會 AWS 繼續發行安全性和合規功能與服務的更新和改進。使用[AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)和 AWS Well Architected Tool 來促進這些架構檢閱。請務必記錄您的安全性和合規實作，以及審核程序之後的建議變更。

## AWS 操作的安全服務
<a name="aws-security-services"></a>

您在 中 AWS 與 共同負責安全和合規 AWS 雲端。此關係會在[AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)中詳細說明。當 AWS 管理雲端的安全性**時，您需負責雲端*的安全*。您有責任保護自己的內容、基礎設施、應用程式、系統和網路，與現場部署資料中心沒有不同。中您對安全與合規的責任 AWS 雲端 會因您使用的服務、將這些服務整合到您的 IT 環境的方式，以及適用的法律和法規而有所不同。

的優點 AWS 雲端 是它可讓您使用 AWS 最佳實務和安全與合規服務來擴展和創新。這可協助您維護安全的環境，同時僅支付您使用的服務。您也可以存取與高度安全企業組織用來保護其雲端環境相同的 AWS 安全與合規服務。

在音效和安全的基礎上建置雲端架構是確保雲端安全性和合規性的第一步，也是最佳步驟。不過，您的 AWS 資源與設定資源一樣安全。有效的安全和合規狀態只能透過在操作層級的持續嚴格遵循來實現。安全與合規操作可以大致分為五個類別：
+ 資料保護
+ 身分存取和管理
+ 網路和應用程式保護
+ 威脅偵測和持續監控
+ 合規和資料隱私權

AWS 安全與合規服務會映射到這些類別，以協助您滿足一組完整的需求。以下是 AWS 安全和合規核心服務及其功能，分為這些類別。這些服務可協助您建置和強制執行雲端安全控管。

### 資料保護
<a name="data-protection"></a>

AWS 提供下列服務，可協助您保護資料、帳戶和工作負載免於未經授權的存取：
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) – 佈建、管理和部署 SSL/TLS 憑證，以搭配 使用 AWS 服務。
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html) – 在 中管理您的硬體安全模組 (HSMs) AWS 雲端。
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) – 建立和控制用於加密資料的金鑰。
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) – 透過採用機器學習的安全功能探索、分類和協助保護敏感資料。
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) – 輪換、管理和擷取資料庫登入資料、API 金鑰和其他秘密的整個生命週期。

### 身分與存取管理
<a name="identity"></a>

下列 AWS 身分服務可協助您大規模安全地管理身分、資源和許可：
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) – 將使用者註冊、登入和存取控制新增至您的 Web 和行動應用程式。
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) – 在 中使用受管 Microsoft Active Directory AWS 雲端。
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) – 集中管理對多個 AWS 帳戶 和商業應用程式的單一登入 (SSO) 存取。
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) – 安全地控制對 和資源的 AWS 服務 存取。
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) – 實作多個 的政策型管理 AWS 帳戶。
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) – 跨您的帳戶共用 AWS 資源。

### 網路和應用程式保護
<a name="network-app-protection"></a>

此類別的服務可協助您在整個組織的網路控制點強制執行精細的安全政策。下列 AWS 服務 可協助您檢查和篩選流量，以協助防止在主機層級、網路層級和應用程式層級邊界進行未經授權的資源存取：
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) – 從中央位置設定和管理跨 AWS 帳戶 和應用程式的 AWS WAF 規則。
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) – 部署虛擬私有雲端 (VPCs) 的基本網路保護。
+ [Amazon Route 53 Resolver DNS 防火牆](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) – 協助保護來自 VPCs傳出 DNS 請求。
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html) – 使用受管 DDoS 保護來保護 Web 應用程式。
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) – 設定和管理 Amazon Elastic Compute Cloud (Amazon EC2) 和內部部署系統，以套用作業系統修補程式、建立安全系統映像，以及設定作業系統。
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) – 佈建邏輯上隔離的 區段 AWS ，您可以在定義的虛擬網路中啟動 AWS 資源。
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) – 協助保護您的 Web 應用程式免受常見的 Web 入侵。

### 威脅偵測和持續監控
<a name="detection-monitoring"></a>

下列 AWS 監控和偵測服務可協助您識別 AWS 環境中的潛在安全事件：
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) – 追蹤使用者活動和 API 用量，以啟用 的控管、操作和風險稽核 AWS 帳戶。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) – 記錄並評估 AWS 資源的組態，以協助您稽核合規、追蹤資源變更，以及分析資源安全性。
+ [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – 建立自動回應環境中變更的規則，例如隔離資源、使用其他資料擴充事件，或將組態還原為已知良好狀態。
+ [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) – 分析和視覺化安全資料，以快速找到潛在安全問題的根本原因。
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) – 透過智慧型威脅偵測 AWS 帳戶 和持續監控，協助保護您的 和 工作負載。
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) – 自動化安全評估，以協助改善所部署應用程式的安全性和合規性 AWS。
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) – 在不佈建或管理伺服器的情況下執行程式碼，讓您可以擴展對事件的程式設計、自動化回應。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – 從中央位置檢視和管理安全提醒並自動化合規檢查。

### 合規和資料隱私權
<a name="compliance"></a>

以下 AWS 服務 提供合規狀態的完整檢視。他們使用以 AWS 最佳實務和業界標準為基礎的自動化合規檢查，持續監控您的環境：
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) – 隨需存取 AWS 安全與合規報告，並選取線上協議。
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) – 持續稽核您的 AWS 用量，以簡化您管理風險的方式，並維持符合法規和業界標準。