本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 採用 AWS 安全服務的決策樹
<a name="decision-tree"></a>

下圖顯示決策樹，您可以用來評估組織是否應採用 AWS 安全服務。決策樹分為兩個部分：[公司內容](#company-context)和[AWS 安全服務評估](#service-evaluation)。第一個區段是*公司內容*，旨在評估您目前的控制項或解決方案，如果存在的話。如果您沒有目前的解決方案，或目前的控制或解決方案不符合您的業務或技術需求，請繼續前往第二個區段：*AWS 安全服務評估*。在*AWS 安全服務評估*區段中，您可以判斷 是否符合 AWS 服務 這些要求。



![採用 AWS 安全服務的決策樹](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/strategy-evaluating-security-service/images/decision-mechanism.png)


## 評估目前安全控制或解決方案的公司內容
<a name="company-context"></a>

在本節中，您會評估目前的控制或解決方案，以確保其符合您組織的業務和技術需求。如果您沒有控制項或解決方案，您應該評估 AWS 安全服務，並直接跳到 [AWS 安全服務評估](#service-evaluation)區段。

### 1.1 是否未參加合規、安全或隱私權要求？
<a name="1-1"></a>

組織在有關資料安全和隱私權的法律和法規範圍內。任何違反這些命令的行為都可能導致嚴重的後果。如果您的公司無法滿足合規、安全或隱私權要求，您應該評估 AWS 安全服務。

### 1.2 您是否有未解決的高風險？
<a name="1-2"></a>

組織需要識別和管理其環境中的重大安全風險。高風險可能涉及潛在的資料外洩、系統漏洞、操作中斷或其他重大安全問題。如果您目前的解決方案 （或沒有解決方案） 無法充分緩解這些高風險，請繼續評估 AWS 安全服務。

### 1.3 您有手動或容易出錯的解決方案嗎？
<a name="1-3"></a>

需要手動步驟或人工互動的解決方案更容易出錯。在這些案例中，不一致、低資料可靠性、不合規資產和缺乏可擴展性很常見。自動化控制對於 IT 系統和工作負載至關重要。如果您目前的解決方案不支援完全自動化，請考慮評估 AWS 安全服務。

### 1.4 您是否面臨管理、敏捷性或可擴展性問題？
<a name="1-4"></a>

請務必對應任何與管理相關的問題。以下是一些範例：缺乏管理不同資產的相容性，解決方案不涵蓋所有裝置、更新期間的錯誤和中斷，以及對生產環境的負面影響。解決方案必須提供敏捷性，以便團隊可以從強大的安全狀態進行創新。您必須支援可擴展性，才能實現指數業務成長。如果您有任何管理、可用性或擴展問題，您應該評估 AWS 安全服務。

### 1.5 您是否擁有較高的總擁有成本？
<a name="1-5"></a>

透過比較成本與產業基準和內部指標，評估目前安全解決方案的總擁有成本 (TCO)。一般而言，組織將 6–14% 的 IT 預算投資於網路安全，而 10% 是平均值。考慮諸如授權、實作、維護、支援和營運成本等因素來保護您的資產。您可以包含內部工具，涵蓋要保護的相同資產數量。工具不平衡的安全預算也可以指出高 TCO，例如，如果 60% 的預算導向單一工具。如果您的 TCO 高於這些基準，請繼續評估 AWS 安全服務。

## AWS 安全服務評估
<a name="service-evaluation"></a>

*技術驗證 (POT)* 類似於概念驗證。POT 的目標是判斷技術問題的潛在解決方案是否可行。例如，您可以使用 POT 來證明特定組態可以實現特定結果。在本節中，您使用 POT 來評估和示範指定的 AWS 安全服務是否符合您的業務和技術需求。

[AWS 安全參考架構 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/) 提供在多帳戶環境中部署 AWS 安全服務完整補充的規範指引。此架構可協助您規劃和執行 POT 評估。

此決策指南適用於所有 AWS 安全服務，包括最新的產品。如需up-to-date 服務和目前最佳實務清單，請參閱 [AWS 雲端 安全性](https://aws.amazon.com/security/)。

### 2.1 AWS 安全服務是否滿足您的合規、安全或隱私權要求？
<a name="2-1"></a>

 AWS 安全服務必須處理目前解決方案未處理的任何合規、安全和隱私權要求。您可以在 AWS 中找到安全與合規的認證和報告[AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)。此外，您可以使用 [AWS 服務 文件](https://docs.aws.amazon.com/)進行涵蓋範圍驗證。

### 2.2 AWS 安全服務是否有助於降低風險？
<a name="2-2"></a>

風險管理是協助保護公司免受許多威脅的關鍵因素。採用服務的決定可能會直接與緩解組織中的一個或多個高風險相關聯。 AWS 安全服務必須根據您的風險偏好和業務環境，將風險降低至可接受的層級。

### 2.3 POT 是否顯示安全服務的有效性？
<a name="2-3"></a>

 AWS 安全服務的有效性必須透過 POT，根據每個安全服務的不同指標進行示範。例如，POT 可能會驗證服務是否可以透過威脅情報演算法快速偵測和回應安全威脅。您可以透過確認在幾分鐘內偵測到的威脅，以及自動通知和修復成功執行來評估成功。對於漏洞管理服務，您可以根據下列項目評估有效性：
+ 偵測到多少個漏洞？
+ 套用修補程式和更新的成功率是多少？
+ 為了保護 Web，令人反感的安全團隊 （也稱為*紅隊*) 是否立即封鎖了跨網站指令碼 (XSS) 和 SQL 注入攻擊？

[AWS Professional Services](https://aws.amazon.com/professional-services/) and [AWS Partners](https://partners.amazonaws.com/search/partners) 可以在此 POT 評估中支援您。

### 2.4 TCO 是否低於目前的控制或解決方案？
<a name="2-4"></a>

較低的 TCO 可協助您最佳化組織中的成本。這些比較中使用的一些常見指標包括：取得和實作成本、固定和可變費用、營運成本、維護和支援成本、擴展和可靠性成本，以及訓練成本。您可以根據特定使用案例執行其他成本測量和比較。 [AWS 定價計算工具](https://calculator.aws/) 可協助您預估 的成本 AWS 服務。此外，您可以在 AWS 免費方案 和免費線索中使用 產品來評估許多項目 AWS 服務。如需詳細資訊，請參閱[免費 AWS 雲端 安全試用](https://aws.amazon.com/free/security/)。

### 2.5 權衡決策
<a name="2-5"></a>

權衡決策需要平衡多個因素，特別是服務有效性和 TCO 考量。當無法確切計算或明確決定時，請評估效益和限制的整體平衡。

即使因素似乎發生衝突，也可能會出現正面平衡。例如，服務可能會增加成本，但提供增強的可擴展性。這代表了正面的平衡，其中改善的效率證明了額外的成本。相反地，即使服務可大幅節省成本，也可能無法接受功能減少。

您應該平衡所有可用資訊，以判斷整體正面或負面結果。根據此分析，您可以做出權衡決策。