本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为每个云服务提供商制定安全和治理要求 教育机构必须实现各种合规、治理和网络安全目标。未能实现这些目标的风险可能包括机构声誉损失、罚款、勒索、敏感数据泄露、知识产权剽窃,以及关键任务功能降级或完全丧失。由于[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/),采用云服务的机构可以通过将基础设施安全的部分责任分载给云服务提供商来减轻管理负担。此外,您可以受益于专门构建的云原生安全服务,这些服务提供的功能在本地部署中通常不可用、难以管理或成本高昂。示例包括 Web 应用程序保护、分布式拒绝服务防护和[AWS Shield](https://aws.amazon.com/shield/) GuardDuty用于威胁检测的 [Amazon](https://aws.amazon.com/guardduty/) 等服务。[AWS WAF](https://aws.amazon.com/waf/)DDo成功的云安全和治理策略使 IT 和安全团队能够专注于构建“通过设计确保安全”的系统,帮助机构快速适应不断演进的任务要求,并为教职人员和研究人员提供安全的环境,以支持突破性的学习与创新。要评估您的安全和治理要求,请考虑以下关键问题。 + **您的工作负载必须与哪些合规框架保持一致?** 由于教育机构支持的利益相关者和工作量众多,因此必须遵循许多合规框架。这些合规框架包括《家庭教育权利和隐私法案》(FERPA)、《健康保险流通与责任法案》(HIPAA)、联邦风险与授权管理计划(FedRAMP)、网络安全成熟度模型认证(CMMC)、《美国国际武器贸易条例》(ITAR)、刑事司法信息服务(CJIS)和支付卡行业数据安全标准(PCI DSS)。在某些情况下,例如 CMMC,研究经费只有在相关工作负载获得合规认证后才会发放。每个框架都有其独特性,可能仅适用于部分工作负载。请确保您了解哪些工作负载必须遵循哪些要求,并且能够在每个工作负载的环境中实现这些要求。在云环境中,请务必厘清自身责任与云服务提供商责任之间的划分。您应该具备实现和保持合规所需的知识、资源和技能集。 + **您采用了哪些机制,能够在不阻碍创新的前提下,在多个云提供商之间强制执行合规?** 如果您的学术机构不熟悉云,我们建议您选择一家主要战略云服务提供商,并重点了解如何架构、设计和运营“通过设计确保安全”的云环境。理想情况下,自动嵌入自助服务系统中的安全控制措施允许用户在最少 IT 团队干预的情况下快速部署安全的云环境。专注于单一提供商会限制您为确保安全与合规而必须投入的资源和时间。最成功的机构会选择能够支持大多数合规要求、拥有强大合作伙伴网络、提供预先构建的合规解决方案并提供安全自助服务自动化功能的云服务提供商。如果必须确保多个云提供商的安全与合规,则需要额外投资来构建管理每个环境合规性所需的技能集和资源。如果每个云提供商都使用不同的基础环境或登录区,则需要了解每个登录区可以支持哪些合规标准和要求,这可能会决定某些工作负载是否可以在该提供商托管。您可以单独管理每个提供商的合规性,也可以使用自定义构建的解决方案或合作伙伴解决方案,从而能够跨提供商集中管理。[AWS Marketplace](https://aws.amazon.com/marketplace) 提供可满足合规要求的交钥匙解决方案。 + **如何评测和控制跨多个云提供商的成本和使用情况?** 如果您的学术机构不熟悉云,我们建议您建立成本可见性和控制机制,以深入了解正在使用哪些云服务、云资源的归属、这些云资源的用途以及通过优化使用可以实现哪些潜在的成本节省。机构可以通过与云服务提供商合作迁移与现代化任务关键型系统来获得可观的投资回报,因为他们可以协商企业级协议,享受批量定价优惠,并利用云服务提供商的专业知识。如果您必须控制跨多个提供商的成本和使用情况,请考虑如何汇总和分析每个提供商的成本和使用情况,可以通过内部流程和工具,也可以使用合作伙伴解决方案。许多组织开始将云财务运营 (FinOps) 确定为一项关键职能,并投入资源来宣传和实施云成本管理和优化的能力。 + **您是否已建立能够随着时间的推移轻松管理用户权限的机制?** 我们建议学术机构在首次使用云时了解核心利益相关者的需求。机构系统的用户包括学生、教职人员、研究人员、IT 人员、行政人员、安保人员、公众以及第三方协作者。您应该明确这些用户的核心需求,并确保落实适当的机制以授予其访问云服务的权限。不同类型的用户需要不同类型的云服务访问权限。例如,学生、教职人员和公众需要访问应用程序;IT 人员、行政人员和安保人员需要访问云基础设施;研究人员及其第三方协作者需要访问安全的研究环境;教职人员需要访问安全的教学环境,甚至可能希望为学生提供访问云技术的实践操作。您应该准备好工具,以自动方式[集中管理这些身份](identity-sso.md),并使用既定流程在角色和职责随着时间的推移而发生变化时识别、授予和撤消权限。 + **您是否已建立将新系统与您的身份管理解决方案妥善集成的机制?** 我们建议学术机构简化新系统与其身份管理系统的集成。通过允许利益相关者购买和构建可轻松集成到身份管理系统的系统,使机构能够灵活地支持各种任务关键型职能。通过简化集成流程,利益相关者将不太可能使用自己的访问控制措施,因为这些措施可能无法强制执行单点登录、通行密钥和多重身份验证(MFA)等安全最佳实践。确保您的身份管理系统能够通过原生集成或行业标准协议与必要的系统互操作。 + **您是否已建立启用有效事件检测和响应的机制?** 教育机构经常成为网络攻击和勒索软件的目标。为了帮助有效检测和应对此类事件,我们建议采用双轨方法: + 将精力集中在预防性措施,即自动嵌入云环境中的安全控制措施。 + 实施检测能力,帮助网络事件响应者及时检测、遏制和缓解安全漏洞。 与合规一样,您必须确保具备在每个环境中检测、预防和响应事件所需的资源、技能集和工具。通过专注于单一主要云提供商,您可以限制所需的资源。没有成熟安全运营团队的学术机构应向独立软件供应商、托管检测和响应提供商以及网络安全顾问寻求这些领域的帮助。