本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 完善：调优和衡量流程、工具和风险
<a name="mature"></a>

在云安全模型的成熟阶段，重点是使安全团队与 AWS 云采用框架 (AWS CAF) 安全能力保持一致，并建立敏捷流程。这种调整可以帮助专业团队在短期冲刺时加快创新，同时还可以整合路线图和长期规划。完善分阶段强调与 IT 运营的协作以及扩展深度专业云技能。每项安全功能均实施关键工具和流程来提高效率和影响力，同时制定衡量增量变化和总体影响的指标和报告机制。

**Topics**
+ [调优和衡量流程](tune-and-measure-processes.md)
+ [调优与衡量工具](tune-and-measure-tools.md)
+ [调优与衡量风险](tune-and-measure-risk.md)
+ [查看完善分阶段的使用案例示例](review-examples.md)

# 调优和衡量流程
<a name="tune-and-measure-processes"></a>

[敏捷方法](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-program-implementation/approach.html)提供了更大的灵活性和创新，可以帮助您快速测试和实施新想法。将您的安全团队划分为专业角色，例如事件响应人员和漏洞经理。角色应与下图中的类别保持一致，这些类别对应于 AWS 云采用框架 (AWS CAF) 中的功能。敏捷方法鼓励团队大胆思考、发明创新、简化流程，并识别潜在的安全漏洞。如此便会积累一批未来待优化的用户故事或路线图。

敏捷流程能够提供更具动态性和适应性的解决方案，而不是仅仅依赖特定工具的功能。*快速失效机制*是使用频繁增量测试来缩短开发生命周期的一种理念，它是敏捷方法的关键部分。进行更改，对其进行测试，然后决定是继续使用当前方法还是改用其他方法。如果团队按此循环工作，则可以帮助您的组织跟上云的快节奏步伐。有针对性的培训也至关重要，您应该提供针对特定云安全领域的培训。



![\[创建与安全支柱中的 AWS CAF 功能相对应的专业角色。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-mature-processes.png)


**注意**  
此镜像不包含 AWS CAF 中的安全保障和安全治理功能。本指南侧重于安全运营，安全保障和治理不在本指南的讨论范围之内。有关安全保障的更多信息，请参阅 re [AWS : inForce 2023-扩展合规性](https://youtu.be/m2wjmGvY2pY?si=o_Rf9Rliu86oFkSQ)。 AWS Control Tower YouTube

在您的组织中，使用敏捷方法来帮助组织跟上云的快速发展和变化。以下是在您的云环境中开始实验和迭代的一些方法：
+ 专门研究 AWS CAF 中定义的类别，如上图所示。
+ 为了更具动态性，请专注于创新而不是运营。
+ 通过允许人们进行测试、快速失效和快速实施在冲刺间快速移动，并继续这个循环以跟上业务的步伐。
+ 为了支持连续运营，尽可能使基于云的环境和本地环境流程保持一致。
+ 为了帮助个人深入研究并专注于一个领域，请提供针对性的培训，而不是广泛的培训。
+ 鼓励人们大胆思考，探究各种“假设情境”，并创建待办事项（例如路线图或差距）。

# 调优与衡量工具
<a name="tune-and-measure-tools"></a>

在为不同的安全域建立专门的团队后，将这些团队彼此协调起来。[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 可以帮助您实现这一目标。Security Hub CSPM 提供了一个集中、统一的控制面板，用于监控框架的进度。它还与 AWS 安全服务集成了许多第三方工具。

NIST 网站上的美国国家标准与技术研究所（NIST）[网络安全框架](https://www.nist.gov/cyberframework)由五项功能组成：识别、保护、检测、响应和恢复。下图显示了如何在每个功能 AWS 服务 期间使用不同的功能，然后配置这些服务以将其发现结果发送到 Security Hub CSPM 以进行合并报告。如果您选择使用其他工具，则可以使用 Security Hub CSPM API、 AWS Command Line Interface (AWS CLI) 和 AWS 安全调查结果格式 (ASFF) 来创建自定义集成。有关 Security Hub CSPM 与其他服务集成的更多信息，请参阅 Sec AWS Security Hub CSPM urity Hub CSPM [文档中的产品集成](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html)。



![\[与之集成的安全工具 AWS Security Hub CSPM\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-and-measure-tools.png)


Security Hub CSPM 与所有这些服务和工具集成，并提供以下功能：
+ 提供统一的控制面板，显示更新并帮助团队原地迭代
+ [自动与 AWS 安全服务集成，例如[亚马逊 Macie、亚马逊和 A](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) mazon D [et](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) ect GuardDuty ive](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html)
+ 支持与 [https://github.com/prowler-cloud/prowler](https://github.com/prowler-cloud/prowler) 和 [https://github.com/stelligent/cfn_nag](https://github.com/stelligent/cfn_nag) 等第三方工具集成
+ 支持与 Security Hub CSPM API 和 AWS 安全调查结果格式 (ASF AWS CLI F) 等工具进行自定义集成

# 调优与衡量风险
<a name="tune-and-measure-risk"></a>

在舞台的成熟阶段，您可以使用 AWS Security Hub CSPM 来持续调整和衡量安全风险。Security Hub CSPM 会持续评估组织的安全状况，并采取措施修复已发现的问题。Security Hub CSPM 集中处理来自各服务部门和受支持的第三方合作伙伴的安全调查结果 AWS 账户，并对其进行优先排序。这可以帮助您分析安全趋势并确定高优先级的安全问题。

Security Hub CSPM 会执行数百次安全检查，并根据您的环境风险对其进行分类。 AWS 您可以在 Security Hub CSPM 控制台的统一控制面板中查看您在安全控制方面的分数。有关更多信息，请参阅 Security Hub CSPM 文档中的[确定安全分数](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-security-score.html)。通过此仪表板，该 DevSecOps 功能可以快速识别任何失败的检查、安全问题的严重程度以及哪些检查 AWS 区域 和资源受到影响。一旦确定问题， DevSecOps 团队就可以确定问题的优先顺序并进行修复。问题得到修复后，Security Hub CSPM 会自动更新状态。

# 查看完善分阶段的使用案例示例
<a name="review-examples"></a>

以下是完善分阶段的示例。这些示例在实践层面上更深入地探讨了不同业务目标的模型、工具和流程。

## 完善：威胁检测示例
<a name="mature-threat-detection-example"></a>

**侦测性控制的业务成果：**提高云事件的可见性和检测速度，以降低风险并加快云资源的使用与开发。

**工具:**[https://github.com/awslabs/assisted-log-enabler-for-aws](https://github.com/awslabs/assisted-log-enabler-for-aws)（GitHub）是一款开源工具，可帮助您在发生安全事件时开启日志记录。它可以快速提高您对事件的可见性。

**示例使用案例：**考虑下图所示的单账户使用案例。有些事件需要进一步调查。您不确定是否启用了日志记录。在这种情况下，最好的操作方法是使用进行试运行，Assisted Log Enabler以查看哪些服务已启用或禁用。 Assisted Log Enabler检查 AWS CloudTrail 跟踪、DNS 查询日志、VPC 流日志和其他日志。如果未启用，则将其Assisted Log Enabler启用。 Assisted Log Enabler可以检查所有内容并开启日志记录 AWS 区域。

您还可以根据需要提升或降低 Assisted Log Enabler 的限制。完成试运行、关闭活动并解决问题后，您发现不再需要此级别的日志记录。您可以快速清理部署以停止日志记录。此功能允许您使用 Assisted Log Enabler 作为分类工具。



![\[使用 Assisted Log Enabler 查看哪些服务启用或禁用了日志记录\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/assisted-log-enabler.png)


以下是 Assisted Log Enabler for AWS 的主要功能：
+ 您可以在单账户或多账户环境中运行它。
+ 您可以使用它来建立登录环境的基准。
+ 您可以使用试运行功能来检查当前状态并确定哪些服务启用了日志记录。
+ 您可以选择要为哪些服务启用日志记录。
+ 您可以根据自己的使用案例提升或降低 Assisted Log Enabler 的限制。

## 完善：IAM 示例
<a name="mature-iam-example"></a>

**IAM 业务成果：**自动实现可视性并根据最佳实践进行衡量，以持续降低风险、实现安全的外部连接，并快速预调配新用户和环境

**工具：**[AWS Identity and Access Management Access Analyzer （IAM Access Analyzer）](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)可帮助您识别与外部实体共享的资源，根据策略语法和最佳实践验证 IAM 策略，并根据历史访问活动生成 IAM 策略。我们强烈建议您在账户和组织级别启用 IAM Access Analyzer。

**服务优点：**IAM Access Analyzer 提供丰富的洞察调查发现。其可识别与外部实体共享的组织资源和帐户。它可以检测诸如公有 S3 存储桶、与其他账户 AWS KMS key 共享的存储桶或与外部账户共享的角色之类的资源，从而使您能够很好地识别不受组织控制的资源。其不仅可以验证 IAM 策略，还可以为您生成这些策略。