本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 安全實作、整合和驗證
在映射您的安全、風險和合規要求之後,下一個網域是*安全實作、整合和驗證*。根據識別的需求,選擇適當的安全控制和措施,以有效地降低風險。這可能包括加密、存取控制、入侵偵測系統或防火牆。將入侵偵測和預防系統、端點保護和身分管理等安全解決方案整合到現有的 IT 基礎設施,以提供全面的安全涵蓋範圍。定期執行安全評估,包括漏洞掃描、滲透測試和程式碼檢閱,以驗證安全控制的有效性,並識別弱點或差距。透過專注於安全實作、整合和驗證,組織可以加強其安全狀態、降低安全違規的可能性,並證明符合法規要求和產業標準。
## 實作
首先,更新您目前安全、風險和合規閾值或偏好的文件。這可讓您在雲端實作規劃的安全與合規要求、控制、政策和工具。只有在您已定義現有風險登錄檔和偏好時,才需要此步驟,這將在探索研討會期間識別。
接著,在雲端實作規劃的安全與合規要求、控制、政策和工具。建議您依照下列順序實作這些項目:基礎設施 AWS 服務、作業系統,然後是應用程式或資料庫。使用下表中的資訊,確認您已解決所有必要的安全與合規領域。
| | |
| --- |--- |
| **Area** | **安全與合規要求** |
| 基礎設施 | AWS 帳戶 登陸區域 預防性控制 偵測性控制 網路分段 存取控制 加密 記錄、監控和提醒 |
| AWS 服務 | AWS 服務 組態 執行個體 儲存 網路 存取控制 加密 更新和修補程式 記錄、監控和提醒 |
| 作業系統 | 防毒 惡意軟體和蠕蟲防護 Configuration 網路保護 存取控制 加密 更新和修補程式 記錄、監控和提醒 |
| 應用程式或資料庫 | Configuration 程式碼和結構描述 存取控制 加密 更新和修補程式 記錄、監控和提醒 |
## 整合
安全實作通常需要與下列項目整合:
+ **網路 –** 內部與外部的網路 AWS 雲端
+ **混合 IT 環境 **– 以外的 IT 環境 AWS 雲端,例如內部部署、公有雲端、私有雲端和主機代管
+ **外部軟體或服務 **– 由獨立軟體廠商 (ISVs) 管理且未託管在您的環境中的軟體和服務。
+ **雲端操作模型服務** – 提供 DevSecOps 功能的 AWS 雲端操作模型服務。
在遷移專案的評估階段,請使用探索工具、現有文件或應用程式面試研討會來識別和確認這些安全整合點。在 中設計和實作工作負載時 AWS 雲端,請根據您在映射研討會期間定義的安全和合規政策和程序建立這些整合。
## 驗證
實作和整合之後,下一個活動是驗證實作。您確保設定符合安全性和合規性的 AWS 最佳實務。我們建議您從兩個涵蓋區域驗證安全性:
+ **工作負載特定的漏洞評估和滲透測試 **- 驗證在 上執行之工作負載的作業系統、應用程式、資料庫或網路安全 AWS 服務。為了執行這些驗證,請使用現有的工具和測試指令碼。執行這些評估時,請務必遵守[AWS 滲透測試客戶支援政策](https://aws.amazon.com/security/penetration-testing/)。
+ **AWS** **安全最佳實務驗證** - 驗證您的 AWS 實作是否符合 AWS Well Architected Framework 和其他選取的基準,例如網際網路安全中心 (CIS)。對於此驗證,您可以使用工具和服務,例如 [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)、[Prowler](https://github.com/prowler-cloud/prowler/#requirements-and-installation) (GitHub)、[AWS Service Screener](https://github.com/aws-samples/service-screener-v2) (GitHub) 或[AWS 自助式安全評估](https://github.com/awslabs/aws-security-assessment-solution) (GitHub)。
請務必將所有安全與合規調查結果記錄並傳達給安全團隊和領導者。標準化報告範本,並使用它們來促進與個別安全利益相關者的通訊。記錄在尋找修復期間所做的所有例外狀況,並確保各自的安全利益相關者簽署。