本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
操作化:為您的組織做好成熟雲端安全狀態的準備
為了繼續將操作負載部署到雲端的程序,請務必專注於人員、程序和技術的一致性。這在雲端環境中特別重要,因為程序和技能可能與內部部署操作不同。在本節中,您會使用架構來調整人員、程序和技術,然後確認架構已協助您實現預期成果。
AWS 雲端採用架構
AWS 雲端採用架構 (AWS CAF) 可協助您透過創新使用 AWS 服務 和 功能來加速業務成果。 AWS CAF 識別六個特定組織觀點,以支持成功的雲端轉型:業務、人員、治理、平台、安全和營運。每個觀點都包含可改善雲端準備能力的功能,並協助您加速雲端轉型之旅。
下圖顯示 AWS CAF 中的六個觀點,以及每個觀點的功能。如需詳細資訊,請參閱 AWS 雲端採用架構概觀中的基礎功能。
預期結果
當您使用 AWS CAF 來調整人員、程序和技術時,您可以預期 會達成下列結果:
-
DevSecOps 管道和程序 – 使用整合式安全工具實作 DevOps 管道,可協助您更安全地部署基礎設施做為程式碼 (IaC)。您可以在管道程序中實作程式碼掃描和安全檢查,例如 cfn_nag
(GitHub),這是開放原始碼靜態程式碼分析器。 -
標記和資產管理 – 標籤可協助您更有效率且一致地管理雲端中的資源。如需詳細資訊,請參閱標記您的 AWS 資源。請務必開發動態資產管理策略,以適應不斷變化的雲端性質。AWS Systems Manager 庫存可協助您指派標籤,以便快速搜尋、管理和識別資源。
-
監控和偵測整合 – 務必建立方法,以將警示從雲端傳送至內部部署安全操作中心 (SOCs) 和安全資訊和事件管理 (SIEM) 系統。Amazon GuardDuty 是一項持續的安全監控服務,可分析和處理日誌,以識別環境中 AWS 非預期和可能未經授權的活動。它也與許多第三方工具整合。
-
雲端事件回應計劃和程式 – 與內部部署警示相比,請務必確保負責處理雲端警示的人員熟悉擷取這些警示的程序,並知道如何回應雲端警示。為了改善事件回應功能,訓練人員使用 Amazon Detective 進行日誌分析。Amazon Detective 可協助您分析、調查和識別安全調查結果或可疑活動的根本原因。Amazon Detective 應該是事件回應計畫的一部分。
-
雲端漏洞管理 – 在雲端中管理漏洞的程序與內部部署環境不同。除了傳統的漏洞管理之外,您還必須評估基礎設施程式碼層。Amazon Inspector 是一種自動化漏洞管理服務,可持續評估您的資源是否有漏洞和意外的網路暴露。
-
雲端狀態管理 – 雲端狀態管理,如評估一節所述,是雲端安全的重要層面。您可以使用 AWS Security Hub 來自動化安全性最佳實務檢查,並評估您所有 的整體雲端狀態 AWS 帳戶。
-
雲端安全訓練 – 為員工提供適當的訓練至關重要,以便他們熟悉雲端安全。這包括提供資源的存取權,並分配時間讓員工取得必要的知識和技能。 AWS 提供許多訓練資源來提升技能和教育,例如AWS 技能建置器
。
