我想了解有关 Security by Design 的信息
Security By Design

Security by Design (SbD) 是一种安全保证方式,可实现 AWS 账户设计的形式化、安全控制的自动化以及审计的简化。SbD 提供建立在整个 AWS IT 管理流程中的安全控制,而不是追溯性地依赖审计安全。通过利用 Security by Design CloudFormation 模板,云中的安全和合规性将更为高效,影响范围更广。

SbD 具有一种针对安全和合规性的四阶段方法,规模跨多个行业、标准和安全准则。客户可通过利用 AWS SbD 在 AWS 客户环境中设计任何内容(权限、日志记录、信任关系、加密执行、要求经批准的计算机映像等),为所有的安全性阶段设计安全和合规性功能。SbD 可使客户自动执行 AWS 账户的前端结构,将安全和合规性可靠地编码至 AWS 账户,使不合规 IT 控制成为过去。


针对在 AWS 中运行的 AWS 客户基础设施、操作系统、服务和应用程序,SbD 概述了控制责任、安全基准的自动化、安全配置和客户对控制的审计。此设计具有标准化、自动化、规范且可重复的特点,可根据常见的使用案例、安全标准和审计要求跨多个行业和工作负载进行部署。

AWS 建议通过以下四阶段方法将安全和合规性部署在您的 AWS 账户中:

第 1 阶段 – 了解您的要求。 概述您的策略,然后记录您从 AWS 继承的控制措施。接着记录您在 AWS 环境中拥有并运行的控制,然后决定要在 AWS IT 环境中执行哪些安全规则。

第 2 阶段 – 构建适合您的要求和实现的“安全环境”。以 AWS 配置值的形式定义您要求的配置,例如,加密要求(强制对 S3 对象进行服务器端加密)、资源权限(适用于特定环境的角色)、哪些计算机映像经过授权(基于您授权的服务器硬化映像)以及需要启用哪些类型的日志记录(例如在适用资源上强制使用 CloudTrail)。因为 AWS 具有一套成熟的配置选项(以及随时发布的新服务),所以可通过模板来使您的环境与安全控制相匹配。这些安全模板(采用 AWS CloudFormation 模板形式)可提供更为全面且可系统地实施的规则集合。AWS 已经开发了提供安全规则的模板,且这些规则符合多个安全框架。有关更多信息,请访问我们的“Security by Design 简介”白皮书。

要创建这一“安全环境”,可向 AWS 经验丰富的架构师、AWS 专业服务和合作伙伴 IT 转型领导者寻求更多帮助。这些团队可与您的员工和审计团队一起工作,在第三方审计的支持下,专注于并帮助实施高质量的安全客户环境。

第 3 阶段 – 强制使用模板。 启用 Service Catalog 并强制在该目录中使用您的模板。这一步将在创建的新环境中强制使用您的“安全环境”,防止任何人创建不符合您的“安全环境”安全规则的环境。通过此操作可有效地运作控制的剩余客户账户安全配置,为审计做好准备。

第 4 阶段 – 执行验证活动。 通过 Service Catalog 部署 AWS,该“安全环境”模板有助于营造便于审计的环境。您在模板中定义的规则可用作审计指南。借助 AWS Config,您可以记录任意环境的当前状态,然后将其与您的“安全环境”规则进行比较。这样便可通过安全的“读取访问”权限以及唯一的脚本提供审计证据收集功能,实现审计证据收集的自动化。客户将能够将传统的人工管理控制措施转换为技术上强制实施的控制体系,同时保证:如果设计和范围设置得当,相比传统的审计抽样方法或时间点审查方法,该控制体系可在任意时间点完整生效。

这种技术审计可通过预审计指导得到增强,例如,针对客户审计机构的支持和培训可确保审计人员了解 AWS 云提供的独特审计自动化功能。

AWS 安全性
AWS Cloud Security by Design

SbD 的 AWS 影响

SbD 方法旨在实现以下目标:

• 创建强制性功能,使不可修改这些功能的用户无法对其进行覆盖。
• 建立可靠的控制操作。
• 启用持续的实时审计。
• 管理策略的技术脚本编写。

结果是获得一个支持环境的安全保证、管理、安全和合规性功能的自动化环境。如今客户能够可靠地实施之前在策略、标准和规章中写入的内容。此外,客户还可创建强制性的安全和合规性规则,而这些规则反过来可创建一个适用于 AWS 客户环境的可靠的功能性管理模式。


白皮书

熟悉 Security by Design 白皮书中的概念。

参加有关“审计 AWS 架构”的自主进度培训。该培训介绍了 AWS 的功能和界面,着重说明了可供审计机构和安全控制所有者使用的配置选项。

熟悉为您提供的其他相关资源:
a. Amazon Web Services:安全流程概述
b. 审计 AWS 使用情况简介白皮书
c. 联邦金融机构检查委员会 (FFIEC) – 审计指南
d. SEC – 网络安全计划审计指南
e. CJIS 安全政策审计指南

 

Security By Design 资源

 

联系我们