# 安全地运营工作负载
<a name="operating-your-workload-securely"></a>

安全地运营工作负载涵盖了从设计、构建、运行到持续改进的整个工作负载生命周期。为了增强您在云中安全运营的能力，其中一种方法是采用组织化的方法进行治理。治理是采用一致的方法来指导决策，而不是完全依赖于相关人员做出良好判断。您的治理模式和流程决定了您如何回答以下问题：“我如何知道给定工作负载的控制目标已实现并且适用于该工作负载？” 采用一致的方法来制定决策可以加快部署工作负载，并帮助提高组织中的安全能力标准。

为了安全地操作您的工作负载，您必须将纲领性最佳实践应用于每个安全领域。将您在组织和工作负载级别的卓越运营中定义的要求和流程应用于所有领域。及时了解 AWS 和行业建议及威胁情报可以帮助您发展威胁模型和控制目标。实现安全流程、测试和验证的自动化可帮助您扩展安全运营。

利用自动化，可以实现流程的一致性和可重复性。虽然每个人都擅长做很多事情，但肯定不能始终如一地重复做同一件事而不出错。即使编写了良好的运行手册，您也会面临人员无法始终如一地执行重复任务的风险。当人员承担多种责任并且必须对不熟悉的提醒做出响应时尤为如此。不过，自动化每次都会以相同的方式响应。通过自动化部署应用程序是最佳选择。可以先测试运行部署的代码，然后将该代码用于执行部署。这增加了变更过程中的信心，同时降低了变更失败的风险。

要验证配置是否达到您的控制目标，请首先在非生产环境中测试自动化和部署的应用程序。这样一来，您就可以测试自动化，证明它正确地执行了所有步骤，还可以在开发和部署周期中获得早期反馈，从而减少返工。要降低出现部署错误的几率，请通过代码而不是人员来进行配置更改。如果您需要重新部署应用程序，可以利用自动化更轻松地完成此操作。在定义其他控制目标时，您可以轻松地将它们添加到所有工作负载的自动化中。

让各个工作负载负责人使用常见功能和共享组件来节省时间，而不是将精力放在实现针对工作负载的安全性上。多个团队可使用的服务的一些示例包括 AWS 账户创建过程、人员的集中化身份、通用日志记录配置以及 AMI 和容器基础映像创建。此方法可以帮助构建者缩短工作负载周期并始终如一地达到安全控制目标。当团队的一致性更高时，您可以验证控制目标，并向利益相关方更好地报告您的控制态势和风险状况。

**Topics**
+ [SEC01-BP03 识别并验证控制目标](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 随时了解安全威胁和建议](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 缩小安全管理范围](sec_securely_operate_reduce_management_scope.md)
+ [SEC01-BP06 自动部署标准安全控制措施](sec_securely_operate_automate_security_controls.md)
+ [SEC01-BP07 使用威胁模型识别威胁并确定缓解措施的优先级](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 定期评估并实施新的安全服务和功能](sec_securely_operate_implement_services_features.md)

# SEC01-BP03 识别并验证控制目标
<a name="sec_securely_operate_control_objectives"></a>

 根据合规性要求以及从威胁模型中发现的风险，获得并验证需要应用于工作负载的控制目标和控制措施。持续验证控制目标和控制措施可帮助您衡量风险缓解措施的有效性。

 **期望结果：**针对业务明确定义了安全控制目标，并且这些目标符合合规性要求。通过自动化方法以及策略来实施和强制执行控制措施，并持续评估这些措施在达成目标方面的有效性。收集某个时间点以及一段时间内的有效性证据，并能够随时报告给审核人员。

 **常见反模式：**
+  没有充分了解用于确保业务安全性的监管要求、市场期望和行业标准 
+  网络安全框架和控制目标与业务要求不一致 
+  虽然实施了控制措施，但没有与控制目标保持高度一致，也难于衡量 
+  不使用自动化方法来报告控制措施的有效性 

 **在未建立这种最佳实践的情况下暴露的风险等级：**高 

## 实施指导
<a name="implementation-guidance"></a>

 根据安全控制目标，您可以利用许多常见的网络安全框架来奠定基础。根据业务考虑监管要求、市场期望和行业标准，确定哪些框架能够很好地满足需求。这些框架的例子包括 [AICPA SOC 2](https://aws.amazon.com/compliance/soc-faqs/)、[HITRUST](https://aws.amazon.com/compliance/hitrust/)、[PCI-DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)、[ISO 27001](https://aws.amazon.com/compliance/iso-27001-faqs/) 和 [NIST SP 800-53](https://aws.amazon.com/compliance/nist/)。

 对于所确定的控制目标，了解所使用的 AWS 服务如何帮助实现这些目标。使用 [AWS Artifact](https://aws.amazon.com/artifact/) 来查找与目标框架相符的文档和报告，这些文档和报告介绍了 AWS 承担的责任范围，并且提供了针对您负责的其余责任范围的相关指导。如需进一步了解与各种框架控制声明对应的服务特定指导，请参阅《[AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf)》。

 在定义用于实现目标的控制措施时，请使用预防性控制措施来规范执行方法，并使用检测性控制措施来自动执行缓解方法。在您的 AWS Organizations 中，使用[服务控制策略（SCP）](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)来协助防范不合规的资源配置和操作。在 [AWS Config](https://aws.amazon.com/config/) 中实施规则，用于监控并报告不合规的资源，然后在确信规则的行为正确无误时，将规则切换为强制执行模式。要部署与网络安全框架相一致的预定义托管规则集，请优先评估使用 [AWS Security Hub CSPM 标准](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)。AWS 基础服务最佳实践（FSBP，Foundational Service Best Practice）标准和 CIS AWS 基础基准可作为很好的起点，用于制定与多种标准框架所共有的多个目标相一致的控制措施。如果 Security Hub CSPM 实质上没有所需的控制检测措施，则可以使用 [AWS Config 合规包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)予以补充。

 使用 AWS Global Security and Compliance Acceleration（GSCA）团队推荐的 [APN 合作伙伴服务包](https://aws.amazon.com/partners/programs/gsca/bundles/)，可以根据需要，从安全顾问、咨询机构、证据收集和报告系统、审核人员以及其他补充性服务那里获取协助。

### 实施步骤
<a name="implementation-steps"></a>

1.  评估常见的网络安全框架，让控制目标与所选框架保持一致。

1.  使用 AWS Artifact 获取所选框架的相关指导和责任文档。了解在责任共担模式下，合规性的责任有哪些归属于 AWS，哪些由您承担。

1.  使用 SCP、资源策略、角色信任策略和其他防护机制，防止出现不合规的资源配置和操作。

1.  评估与您的控制目标相一致的 Security Hub CSPM 标准和 AWS Config 合规包的部署。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC03-BP01 定义访问要求](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html) 
+  [SEC04-BP01 配置服务和应用程序日志记录](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html) 
+  [SEC07-BP01 了解数据分类方案](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html) 
+  [OPS01-BP03 评估治理要求](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html) 
+  [OPS01-BP04 评估合规性要求](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html) 
+  [PERF01-BP05 使用策略和参考架构](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html) 
+  [COST02-BP01 根据组织的要求制定各种策略](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html) 

 **相关文档：**
+  [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **相关工具：**
+  [AWS Artifact](https://aws.amazon.com/artifact/) 

# SEC01-BP04 随时了解安全威胁和建议
<a name="sec_securely_operate_updated_threats"></a>

 关注行业威胁情报出版物和数据源来获取行业动态，及时了解最新的威胁和缓解措施。评估根据最新威胁数据自动进行更新的托管服务产品。

 **期望结果：**在行业出版物发布最新的威胁和建议更新时及时了解情况。 您可以使用自动化功能来检测潜在的漏洞和暴露情况，以及识别新的威胁。您对这些威胁采取了缓解措施。 您采用 AWS 服务来自动更新最新的威胁情报。

 **常见反模式：**
+  没有可靠且可重复的机制来随时了解最新的威胁情报。
+  手动维护技术产品组合、工作负载和依赖项清单，这些清单需要人工审查来发现潜在的漏洞和暴露情况。
+  没有采取机制来更新工作负载和依赖项，未获得可提供已知威胁缓解措施的最新版本。

 **建立此最佳实践的好处：**使用威胁情报来源来了解最新信息，可以降低错过可能影响业务的重要威胁形势变化的风险。 与手动替代方案相比，采取自动化功能来扫描、检测和修复工作负载及其依赖项中存在潜在的漏洞或暴露情况，有助于您快速且可预测地降低风险。 这样就可以控制与漏洞缓解相关的时间和成本。

 **在未建立这种最佳实践的情况下暴露的风险等级：**高 

## 实施指导
<a name="implementation-guidance"></a>

 阅读可信的威胁情报出版物，随时掌握威胁形势。 有关已知的对抗策略、技巧和程序（TTP，Tactics, Techniques, and Procedures）的文档，请参阅 [MITRE ATT&CK](https://attack.mitre.org/) 知识库。查看 MITRE 的[通用漏洞披露](https://cve.org/)（CVE，Common Vulnerabilities and Exposures）列表，随时了解您依赖的产品中的已知漏洞。通过开放式全球应用程序安全项目（OWASP，Open Worldwide Application Security Project）的热门 [OWASP Top 10](https://owasp.org/www-project-top-ten/) 项目，了解 Web 应用程序面临的严重风险。

 通过 CVE 的 AWS [安全公告](https://aws.amazon.com/security/security-bulletins/)，及时了解 AWS 安全事件和建议的修复措施。

 为了减少保持最新状态所需的总体工作量和开销，您可以考虑使用 AWS 服务，这样就能随着时间的推移自动整合新威胁情报。 例如，[Amazon GuardDuty](https://aws.amazon.com/guardduty/) 会及时了解行业威胁情报，从而检测账户中的异常行为和威胁特征。 [Amazon Inspector](https://aws.amazon.com/inspector/) 自动让其用于持续扫描功能的 CVE 数据库保持最新状态。 [AWS WAF](https://aws.amazon.com/waf/) 和 [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-advanced-summary.html) 均提供了托管规则组，这些规则组会在新威胁出现时自动更新。

 查看用于自动化实例集管理和修补的 [Well-Architected 卓越运营支柱](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html)。

## 实施步骤
<a name="implementation-steps"></a>
+  订阅与业务和行业相关的威胁情报出版物，了解最新动态。订阅 AWS 安全公告。
+  考虑采用自动整合新威胁情报的服务，例如 Amazon GuardDuty 和 Amazon Inspector。
+  部署符合 Well-Architected 卓越运营支柱最佳实践的实例集管理和修补策略。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC01-BP07 使用威胁模型识别威胁并确定缓解措施的优先级](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_threat_model.html) 
+  [OPS01-BP05 评估威胁形势](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_eval_threat_landscape.html) 
+  [OPS11-BP01 设置持续改进流程](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_evolve_ops_process_cont_imp.html) 

# SEC01-BP05 缩小安全管理范围
<a name="sec_securely_operate_reduce_management_scope"></a>

 确定是否可以使用 AWS 服务，将某些控制措施的管理工作转移给 AWS（*托管服务*），从而缩小安全管理范围。这些服务有助于减少安全维护任务，例如基础设施预置、软件设置、修补或备份。

 **期望结果：**在为工作负载选择 AWS 服务时考虑到安全管理工作的范围。在应该考虑的其他 Well-Architected 注意事项之外，将管理开销和维护任务的成本（总拥有成本，简称 TCO）与您所选择服务的成本进行权衡。在控制措施评估和验证流程中，可以结合考虑 AWS 的控制和合规性文档。

 **常见反模式：**
+  在部署工作负载时，未充分了解所选服务的责任共担模式。
+  在虚拟机上托管数据库和其他技术，但没有评估具备相同功能的托管服务。
+  在与托管服务方案对比时，虚拟机上托管技术的总拥有成本中没有包括安全管理任务。

 **建立此最佳实践的好处：**使用托管服务可以减轻管理运营安全控制措施的整体负担，从而降低您的安全风险和总拥有成本。原本会用在某些安全任务上的时间，可以重新投入到能够为业务创造更多价值的任务上。托管服务还可以将一些控制要求转移给 AWS，从而减少您为满足合规性要求的工作范围。

 **在未建立这种最佳实践的情况下暴露的风险等级：**中 

## 实施指导
<a name="implementation-guidance"></a>

 您可以通过多种方式将工作负载的组件集成到 AWS 上。如果您在 Amazon EC2 实例上安装和运行各种技术服务，那么在总体安全责任中，通常需要承担更大的份额。为了减轻运营某些控制措施的负担，请找出可以减少您在责任共担模式中所承担责任范围的 AWS 托管服务，并了解如何在现有架构中使用这些服务。例如，使用 [Amazon Relational Database Service（Amazon RDS）](https://aws.amazon.com/rds/)部署数据库，使用 [Amazon Elastic Kubernetes Service（Amazon EKS）](https://aws.amazon.com/eks/)或 [Amazon Elastic Container Service（Amazon ECS）](https://aws.amazon.com/ecs/)编排容器，或者使用[无服务器方案](https://aws.amazon.com/serverless/)。在构建新应用程序时，请仔细考虑哪些服务有助于减少实施和管理安全控制措施的时间及成本。

 在选择服务时，合规性要求也可能是需要考虑的因素之一。托管服务可以将一些合规性要求转移给 AWS。请与合规团队讨论，了解他们对审核您所运营和管理的服务各个方面的满意程度，以及接受相关 AWS 审核报告中控制声明的满意程度。您可以将[AWS Artifact](https://aws.amazon.com/artifact/) 中的审核构件提供给审核人员或监管机构，作为 AWS 安全控制措施的证据。您还可以使用一些 AWS 审核构件提供的责任指导，并结合 [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 来设计架构。这些指导可以让您了解到，为了支持系统的具体应用场景，您还应落实的其他安全控制措施。

 使用托管服务时，您需要熟悉将这些服务的资源更新到新版本的过程（例如，更新 Amazon RDS 管理的数据库版本，或者更新 AWS Lambda 函数的编程语言运行时）。尽管托管服务可能会为您执行此操作，但配置更新时间以及了解这些更新会对您的运营产生何种影响，仍然是您的责任。您可以利用 [AWS Health](https://aws.amazon.com/premiumsupport/technology/aws-health/) 等工具在整个环境中跟踪和管理这些更新。

### 实施步骤
<a name="implementation-steps"></a>

1.  评估工作负载中可以用托管服务取代的组件。

   1.  如果您将工作负载迁移到 AWS，则在评测是要重新托管、重构、更换平台、重新构建还是更换工作负载时，请考虑减少的管理工作（时间和开支）和降低的风险。从长远来看，在迁移开始时进行额外的投入，有时可以节省大量资金。

1.  请考虑实施 Amazon RDS 等托管服务，而不是安装和管理自己的技术部署。

1.  使用 AWS Artifact 中的责任指导来帮助确定应针对工作负载采取的安全控制措施。

1.  记录所使用资源的清单，及时了解新的服务和方法，以便发现减少责任范围的新机会。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [PERF02-BP01 为工作负载选择最佳计算方案](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_compute_hardware_select_best_compute_options.html) 
+  [PERF03-BP01 使用最能满足数据访问和存储要求的专用数据存储](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html) 
+  [SUS05-BP03 使用托管服务](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_hardware_a4.html) 

 **相关文档：**
+  [Planned lifecycle events for AWS Health](https://docs.aws.amazon.com/health/latest/ug/aws-health-planned-lifecycle-events.html) 

 **相关工具：**
+  [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 
+  [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **相关视频：**
+  [How do I migrate to an Amazon RDS or Aurora MySQL DB instance using AWS DMS?](https://www.youtube.com/watch?v=vqgSdD5vkS0)
+  [AWS re:Invent 2023 - Manage resource lifecycle events at scale with AWS Health](https://www.youtube.com/watch?v=VoLLNL5j9NA) 

# SEC01-BP06 自动部署标准安全控制措施
<a name="sec_securely_operate_automate_security_controls"></a>

 在开发和部署 AWS 环境中的标准安全控制措施时，应用现代化 DevOps 实践。 使用基础设施即代码（IaC）模板定义和配置标准安全控制措施，收集版本控制系统中的更改，测试作为 CI/CD 管道一部分的更改，并自动将更改部署到您的 AWS 环境。

 **期望结果：**使用 IaC 模板收集标准化的安全控制措施，并将其提交给版本控制系统。 在检测到变化的地方部署了 CI/CD 管道，并自动测试和部署 AWS 环境。 在继续部署之前，采取了防护机制来检查模板中的错误配置并发出警报。 工作负载部署到采用标准控制措施的环境中。 团队具有访问权限，可以通过自助服务机制部署经批准的服务配置。 制定了安全的备份和恢复策略，用于控制配置、脚本和相关数据。

 **常见反模式：**
+  通过 Web 控制台或命令行界面手动更改标准安全控制措施。
+  依靠各个工作负载团队来手动实施中心团队定义的控制措施。
+  依靠中心安全团队，根据工作负载团队的要求来部署工作负载级别的控制措施。
+  允许相同的个人或团队开发、测试和部署安全控制措施自动化脚本，而没有采取适当的职责分离或制衡措施。  

 **建立此最佳实践的好处：**使用模板来定义标准安全控制措施，这样您就可以通过版本控制系统来跟踪和比较随时间发生的变化。 使用自动化功能来测试和部署更改，这样可以实现标准化程序及可预测性，增加成功部署的可能性，减少重复的手动任务。 为工作负载团队提供了自助服务机制来部署经批准的服务和配置，可减少配置错误和滥用的风险。这样还可以让团队在开发过程的早期融入控制措施。

 **在未建立这种最佳实践的情况下暴露的风险等级：**中 

## 实施指导
<a name="implementation-guidance"></a>

 按照 [SEC01-BP01 使用账户分隔工作负载](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html)中描述的做法，您最终将多个 AWS 账户用于您通过 AWS Organizations 管理的不同环境。 虽然这些环境和工作负载可能会需要不同的安全控制措施，不过您可以对整个企业内的一些安全控制措施进行标准化。 这样的例子包括集成集中式身份提供程序、定义网络和防火墙，以及配置用于存储和分析日志的标准位置。 就像使用*基础设施即代码*（IaC）将同样严格的应用程序代码开发要求应用于基础设施预置一样，您也可以使用 IaC 来定义和部署标准安全控制措施。

 尽可能以声明式方式（例如在 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 中）定义安全控制措施，并将这些安全控制措施存储在源代码控制系统中。 使用 DevOps 实践来自动部署控制措施，从而获得可预测性更强的发布，使用 [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 等工具自动进行测试，并检测已部署的控制措施与所需配置之间的偏差。 您可以使用 [AWS CodePipeline](https://aws.amazon.com/codepipeline/)、[AWS CodeBuild](https://aws.amazon.com/codebuild/) 和 [AWS CodeDeploy](https://aws.amazon.com/codedeploy/) 等服务来构造 CI/CD 管道。请参考[使用多个账户组织 AWS 环境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html)中的指导，在每个服务自己的、独立于其他部署管道的账户中，配置这些服务。

 您还可以定义模板来实现标准化的 AWS 账户、服务和配置的定义及部署。 利用这种技术，中心安全团队可以管理这些定义，并通过自助服务方法将这些定义提供给工作负载团队。 为此，您可以采取的一种方法是使用 [Service Catalog](https://aws.amazon.com/servicecatalog/)，将模板作为*产品*发布，供工作负载团队整合到自己的管道部署中。 如果使用的是 [AWS Control Tower](https://aws.amazon.com/controltower/)，则可以使用一些模板和控制措施作为起点。 Control Tower 还提供 [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html) 功能，让工作负载团队可以使用您定义的标准创建新的 AWS 账户。 在工作负载团队确定了需要新账户时，此功能可以避免需要依赖中心团队来审批和创建新账户。 您可能需要通过这些账户，根据工作负载提供的功能、所处理数据的敏感性或其行为等原因，来隔离不同的工作负载组件。

## 实施步骤
<a name="implementation-steps"></a>

1.  确定如何在版本控制系统中存储和维护模板。

1.  创建 CI/CD 管道来测试和部署模板。 定义测试方法，用于检查配置是否有误，以及模板是否符合公司标准。

1.  构建标准化模板目录，供工作负载团队根据您的要求部署 AWS 账户和服务。

1.  为控制配置、脚本和相关数据实施安全的备份和恢复策略。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [OPS05-BP01 使用版本控制](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_version_control.html) 
+  [OPS05-BP04 使用构建和部署管理系统](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_build_mgmt_sys.html) 
+  [REL08-BP05 使用自动化功能部署更改](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_automated_changemgmt.html) 
+  [SUS06-BP01 采用可以快速引入可持续性改进的方法](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_dev_a2.html) 

 **相关文档：**
+  [使用多个账户整理您的 AWS 环境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) 

 **相关示例：**
+  [Automate account creation, and resource provisioning using Service Catalog, AWS Organizations, and AWS Lambda](https://aws.amazon.com/blogs/mt/automate-account-creation-and-resource-provisioning-using-aws-service-catalog-aws-organizations-and-aws-lambda/) 
+  [Strengthen the DevOps pipeline and protect data with AWS Secrets Manager, AWS KMS, and AWS Certificate Manager](https://aws.amazon.com/blogs/security/strengthen-the-devops-pipeline-and-protect-data-with-aws-secrets-manager-aws-kms-and-aws-certificate-manager/) 

 **相关工具：**
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Landing Zone Accelerator on AWS](https://github.com/awslabs/landing-zone-accelerator-on-aws) 

# SEC01-BP07 使用威胁模型识别威胁并确定缓解措施的优先级
<a name="sec_securely_operate_threat_model"></a>

 执行威胁建模，以识别并维护一个针对工作负载的潜在威胁和相关缓解措施的最新登记表。确定威胁优先级并调整安全控制缓解措施，用于防范、检测和响应。根据工作负载以及不断变化的安全环境，重新审视和维护此登记表。

 **在未建立这种最佳实践的情况下暴露的风险等级：**高 

## 实施指导
<a name="implementation-guidance"></a>

 **什么是威胁建模？** 

 “威胁建模可识别、沟通和理解威胁及缓解措施，用于保护重要资产。” – [开源 Web 应用程序安全项目（OWASP）应用程序威胁建模](https://owasp.org/www-community/Threat_Modeling) 

 **为什么应该进行威胁建模？** 

 系统是复杂的，也会随着时间的推移会变得越来越复杂、越来越强大，从而提供更多业务价值，提高客户满意度和参与度。这意味着 IT 设计决策需要考虑数量不断增加的应用场景。由于复杂性和使用案例排列组合的数量过多，非结构化方法将通常无法有效地发现和减轻威胁。因此，您需要采用一种系统方法来列举对系统的潜在威胁，制定缓解措施并确定这些缓解措施的优先级，确保贵组织利用有限资源，在改善系统的整体安全态势方面发挥巨大作用。

 威胁建模旨在提供这种系统方法，目的是在设计过程的早期发现和解决问题。此时与生命周期的后期相比，缓解措施的成本和工作量相对较低。这种方法与[*左移*安全实践](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview)的行业原则相一致。最终，威胁建模将与组织的风险管理流程相互集成，并通过使用威胁驱动的方法，帮助您决定实施哪些控制措施。

 **应在什么时候进行威胁建模？** 

 应在工作负载的生命周期中尽早开始进行威胁建模，这使您能够更灵活地处理已识别的威胁。就像软件漏洞一样，越早发现威胁，解决威胁的成本效益就越高。威胁模型是一个动态文档，应随着工作负载的变化而不断发展。随着时间的推移（包括当发生重大变更、威胁形势发生变化或您采用新功能或服务时），重新审视您的威胁模型。

### 实施步骤
<a name="implementation-steps"></a>

 **我们如何进行威胁建模？** 

 可以采用许多不同的方式来进行威胁建模。就像编程语言一样，每种方式都有优点和缺点，您应该选择最适合自己的方式。一种方法是从 [Shostack 的威胁建模 4 问题框架](https://github.com/adamshostack/4QuestionFrame)开始，该框架提出开放式问题，可为威胁建模工作提供结构：

1.  **我们正在做什么？** 

    该问题旨在帮助您了解所构建的系统并达成一致意见，以及了解与安全性相关的系统细节。创建模型或图表是回答该问题的常用方法，因为这有助于对所构建的内容进行可视化，例如使用[数据流图](https://en.wikipedia.org/wiki/Data-flow_diagram)。写下关于系统的假设和重要细节也有助于定义范围内的内容。这使每个参与威胁建模的人员都能专注于同一件事，避免因在超出范围的主题（包括过时的系统版本）上走弯路而浪费时间。例如，如果您要构建一个 Web 应用程序，那么可能不值得花时间为浏览器客户端操作系统可信引导顺序进行威胁建模，因为您无法在设计中影响这一点。

1.  **会出现什么问题？** 

    该问题可帮助您识别系统存在的威胁。威胁是指会产生不必要的影响，也可能影响系统安全的意外或故意行为或事件。如果不清楚哪里可能出现问题，您就无从应对。

    对于可能出现的问题，并没有一个规范的列表。创建此列表需要团队中的所有个人和参与威胁建模工作的[相关角色](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips)集思广益并展开协作。您可以通过使用识别威胁的模型（如 [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security))）来帮助集思广益，该模型建议了不同的评估类别：欺骗、篡改、抵赖、信息披露、拒绝服务和权限提升。此外，您可能希望通过回顾现有的列表和研究来帮助集思广益，寻找灵感，其中包括 [OWASP Top 10](https://owasp.org/www-project-top-ten/)、[HiTrust 威胁目录](https://hitrustalliance.net/hitrust-threat-catalogue/)和贵组织自己的威胁目录。

1.  **我们要怎么做？** 

    与前面的问题一样，我们不可能得到包含所有缓解措施的规范清单。这一步骤需要考虑的是上一步中确定的威胁、威胁行动者和要改进的领域。

    安全性和合规性是[您与 AWS 共同承担的责任](https://aws.amazon.com/compliance/shared-responsibility-model/)。重要的是要明白，当您问“我们要怎么做？”时，您也在问“谁负责做这件事？”。了解您和 AWS 之间的责任平衡有助于将威胁建模工作的范围限定在您控制的缓解措施范围内，这些缓解措施通常是 AWS 服务配置选项和您自己的系统特定缓解措施的组合。

    对于共担责任中 AWS 应承担的部分，您会发现 [AWS 服务在许多合规计划的范围内](https://aws.amazon.com/compliance/services-in-scope/)。这些计划可帮助您理解 AWS 用以维持云安全性与合规性的可靠控制机制。AWS 客户可以从 [AWS Artifact](https://aws.amazon.com/artifact/) 下载这些计划的审核报告。

    无论您使用哪项 AWS 服务，客户始终要承担一部分责任，并且与这些责任相一致的缓解措施应包含在威胁模型中。对于 AWS 服务自身的安全控制缓解措施，您需要考虑跨域实施安全控制措施，包括身份和访问管理（身份验证和授权）、数据保护（静态和传输中）、基础设施安全性、日志记录和监控等域。每项 AWS 服务的文档都包含一个[专门的安全章节](https://docs.aws.amazon.com/security/)，其中提供的安全控制机制指导可用作缓解措施。重要的是，需要考虑您正在编写的代码及其代码依赖项，并思考可以设置哪些控制机制来应对这些威胁。这些控制机制可以是[输入验证](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html)、[会话处理](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling)和[边界处理](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow)等内容。通常，大多数漏洞都是在自定义代码中引入，因此请重点关注这一领域。

1.  **我们做得好吗？** 

    该问题旨在随着时间的推移，让您的团队和组织提高威胁模型的质量并加快执行威胁建模的速度。通过将实践、学习、教学和回顾相结合可以取得这些改进。要想深入了解并亲身体验，建议您和团队完成[“适合构建者的威胁建模方式”培训课程](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)或[讲习会](https://catalog.workshops.aws/threatmodel/en-US)。此外，如果您正在寻找如何将威胁建模集成到组织的应用程序开发生命周期中的指导，请参阅 AWS 安全博客上的《[How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)》一文。

 **Threat Composer** 

 为了协助并指导执行威胁建模，您可以考虑使用 [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer) 工具，缩短进行威胁建模时实现价值的时间。该工具有助于您执行以下操作：
+  撰写符合[威胁语法](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar)、能够在自然非线性工作流程中发挥作用的有用威胁语句 
+  生成人类可读的威胁模型 
+  生成机器可读的威胁模型，允许您将威胁模型视为代码 
+  使用 Insights 控制面板协助您快速确定质量和覆盖范围有待改进的方面 

 如需更多参考，请访问 Threat Composer 并切换到系统定义的**示例工作区**。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [SEC01-BP03 识别并验证控制目标](sec_securely_operate_control_objectives.md) 
+  [SEC01-BP04 随时了解安全威胁和建议](sec_securely_operate_updated_threats.md) 
+  [SEC01-BP05 缩小安全管理范围](sec_securely_operate_reduce_management_scope.md) 
+  [SEC01-BP08 定期评估并实施新的安全服务和功能](sec_securely_operate_implement_services_features.md) 

 **相关文档：**
+  [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)（AWS 安全博客） 
+ [NIST: Guide to Data-Centric System Threat modeling](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

 **相关视频：**
+ [AWS Summit ANZ 2021 - How to approach threat modeling](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2022 - Scaling security – Optimise for fast and secure delivery ](https://www.youtube.com/watch?v=DjNPihdWHeA)

 **相关培训：**
+ [Threat modeling the right way for builders – AWS Skill Builder virtual self-paced training](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [Threat modeling the right way for builders – AWS 讲习会](https://catalog.workshops.aws/threatmodel)

 **相关工具：**
+  [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer) 

# SEC01-BP08 定期评估并实施新的安全服务和功能
<a name="sec_securely_operate_implement_services_features"></a>

 评估并实施 AWS 和 AWS 合作伙伴提供的安全服务和功能，以此改善工作负载的安全态势。  

 **期望结果：**已经采取标准做法，可获取 AWS 和 AWS 合作伙伴发布的新功能及服务的信息。针对环境和工作负载评估了这些新功能对当前和新控制措施的设计有何影响。

 **常见反模式：**
+  未订阅 AWS 博客和 RSS 源，无法及时了解相关的新功能和服务 
+  依赖二手来源来了解有关安全服务和功能的新闻与动态 
+  没有鼓励企业中的 AWS 用户随时了解最新动态 

 **建立此最佳实践的好处：**如果能够随时了解新的安全服务和功能，就可以针对云环境和工作负载中控制措施的实施，制定出明智的决策。大家可以通过这些来源提高对不断变化的安全形势的认识，以及了解如何使用 AWS 服务来防范新兴的威胁。  

 **在未建立这种最佳实践的情况下暴露的风险等级：**低 

## 实施指导
<a name="implementation-guidance"></a>

 AWS 通过多种渠道向客户告知新的安全服务和功能：
+  [AWS 的新功能](https://aws.amazon.com/new) 
+  [AWS 新闻博客](https://aws.amazon.com/blogs/aws/) 
+  [AWS 安全博客](https://aws.amazon.com/blogs/security/) 
+  [AWS 安全公告](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS 文档概览](https://aws.amazon.com/documentation/) 

 您可以使用 Amazon Simple Notification Service（Amazon SNS）订阅 [AWS 每日功能更新](https://aws.amazon.com/blogs/aws/subscribe-to-aws-daily-feature-updates-via-amazon-sns/)主题，获取全面的每日更新摘要。一些安全服务（例如 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_sns.html) 和 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-announcements.html)）会提供自己的 SNS 主题，方便您随时了解这些特定服务的新标准、调查发现和其他更新。

 每年在全球举行的[会议、活动和网络研讨会](https://aws.amazon.com/events/)上，同样会公布和详细介绍新的服务及功能。每年的 [AWS re:Inforce](https://reinforce.awsevents.com/) 安全会议以及内容更全面的 [AWS re:Invent](https://reinvent.awsevents.com/) 会议尤其需要注意。前面提到的 AWS 新闻频道会分享这些有关安全和其他服务的会议公告，您可以在 YouTube 上的 [AWS Events 频道](https://www.youtube.com/c/AWSEventsChannel)上在线观看深度探讨分组会议，其中提供了丰富的信息。

 您也可以向 [AWS 账户账户团队](https://aws.amazon.com/startups/learn/meet-your-aws-account-team)询问最新的安全服务更新和建议。如果没有这些团队的直接联系信息，您可以填写[销售支持表](https://aws.amazon.com/contact-us/sales-support/)与该团队取得联系。同样，如果您订阅了 [AWS Enterprise Support](https://aws.amazon.com/premiumsupport/plans/enterprise/)，技术客户经理（TAM，Technical Account Manager）每周都会向您发布更新内容，而您也可以安排与他们定期开展审查会议。

### 实施步骤
<a name="implementation-steps"></a>

1.  使用您最喜欢的 RSS 阅读器订阅各种博客和公告，或订阅每日功能更新 SNS 主题。

1.  评估要参加哪些 AWS 活动，获得有关新功能和服务的第一手信息。

1.  如果有任何有关更新安全服务和功能的问题，请安排与您的 AWS 账户团队进行讨论。

1.  请考虑订阅 Enterprise Support，这样就可以定期咨询技术客户经理（TAM）。

## 资源
<a name="resources"></a>

 **相关最佳实践：**
+  [PERF01-BP01 了解并掌握可用的云服务和功能](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_understand_cloud_services_and_features.html) 
+  [COST01-BP07 及时了解新发布的服务](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_cloud_financial_management_scheduled.html)