# SEC01-BP03 識別和驗證控制目標
根據合規需求以及從威脅模型識別的風險,衍生並驗證您需要套用到工作負載的控制目標和控制。對控制目標與控制持續進行驗證,可協助您測量風險降低的有效性。
**預期成果:**企業的安全控制目標是明確定義的,並符合您的合規要求。控制項是透過自動化和政策來實作和強制執行的,並持續評估其在達成目標方面的有效性。在一個時間點和一段時間內的有效性證據可以很容易地向稽核人員報告。
**常見的反模式:**
+ 您的企業對可保證安全的法規要求、市場預期和業界標準並未充分了解
+ 網路安全架構和控制目標不符合業務需求
+ 控制措施的實作並未以可衡量的方式與您的控制目標保持一致
+ 您不使用自動化來報告控制措施的有效性
**未建立此最佳實務時的曝險等級:**高
## 實作指引
有許多常見的網路安全框架可以構成安全控制目標的基礎。考慮企業的法規要求、市場期望和業界標準,以決定哪些架構最能支援您的需求。範例包括 [AICPA SOC 2](https://aws.amazon.com/compliance/soc-faqs/)、[HITRUST](https://aws.amazon.com/compliance/hitrust/)、[PCI-DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)、[ISO 27001](https://aws.amazon.com/compliance/iso-27001-faqs/) 和 [NIST SP 800-53](https://aws.amazon.com/compliance/nist/)。
針對您確定的控制目標,了解您使用的 AWS 服務如何協助您達成這些目標。使用 [AWS Artifact](https://aws.amazon.com/artifact/) 尋找符合目標架構的文件和報告,這些文件和報告可說明 AWS 涵蓋的責任範圍,以及您負責的剩餘範圍的指引。如需符合各種架構控制聲明的詳細服務特定指引,請參閱 [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf)。
當您定義實現目標的控制措施時,使用預防性控制措施對執行進行整理,並使用偵測性控制來自動化緩解措施。使用[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html),協助防止您的 AWS Organizations 中的不合規資源組態和動作。在 [AWS Config](https://aws.amazon.com/config/) 中實作規則以監控和報告不合規的資源,然後在對其行為有信心後,將規則切換為強制執行模型。若要部署符合網路安全架構的預定義和受控規則集,請首先評估 [AWS Security Hub CSPM 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)的使用。AWS Foundational Service Best Practices (FSBP) 標準和 CIS AWS Foundations Benchmark 是良好的起點,具有與多個標準框架共享的許多目標保持一致的控制措施。如果 Security Hub CSPM 本質上沒有所需的控制偵測,則可以使用 [AWS Config 一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)來補充它。
使用 AWS 全球安全與合規加速 (GSCA) 團隊建議的 [APN 合作夥伴套件](https://aws.amazon.com/partners/programs/gsca/bundles/),在需要時從安全顧問、諮詢機構、證據收集和報告系統、稽核人員和其他輔助服務那裡取得協助。
### 實作步驟
1. 評估常見的網路安全架構,並使您的控制目標與選擇的目標保持一致。
1. 使用 AWS Artifact 取得有關架構指引和責任的相關文件。了解哪些法規遵循部分屬於共同責任模式的 AWS 方面,以及哪些部分是您的責任。
1. 使用 SCP、資源政策、角色信任政策及其他防護機制來防止不合規的資源組態和動作。
1. 評估部署符合您控制目標的 Security Hub CSPM 標準和 AWS Config 一致性套件。
## 資源
**相關的最佳實務:**
+ [SEC03-BP01 定義存取需求](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html)
+ [SEC04-BP01 設定服務和應用程式日誌記錄](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html)
+ [SEC07-BP01 了解您的資料分類方案](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html)
+ [OPS01-BP03 評估管控要求](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html)
+ [OPS01-BP04 評估合規要求](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html)
+ [PERF01-BP05 使用政策和參考架構](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html)
+ [COST02-BP01 根據貴組織的需求制定政策](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html)
**相關文件:**
+ [AWS 客戶合規指南](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf)
**相關工具:**
+ [AWS Artifact](https://aws.amazon.com/artifact/)