本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 為每個雲端服務供應商建立安全與控管要求 教育機構必須達成各種合規、控管和網路安全目標。無法達成這些目標的風險可能包括機構評價損失、貨幣罰款、勒索軟體、敏感資料外洩、智慧財產權盜竊,以及任務關鍵職能降級或完全遺失。由於[共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/),採用雲端服務的機構可以透過將一些基礎設施安全的責任卸載給雲端服務供應商來減輕管理負擔。此外,您可以受益於專門建置的雲端原生安全服務,這些服務在內部部署中提供通常不可用、難以管理或成本高昂的功能。範例包括[AWS WAF](https://aws.amazon.com/waf/)用於 Web 應用程式保護的服務,[AWS Shield](https://aws.amazon.com/shield/)用於分散式拒絕服務 (DDoS) 保護的服務,以及用於威脅偵測的 [Amazon GuardDuty](https://aws.amazon.com/guardduty/)。成功的雲端安全與控管策略可讓 IT 和安全團隊專注於建置設計上安全的系統、協助機構快速適應不斷發展的任務需求,並為講師和研究人員提供安全的學習和創新環境。若要評估您的安全與控管需求,請考慮下列重要問題。 + **您的工作負載必須符合哪些合規架構?** 教育機構必須遵守許多合規架構,因為他們支援許多利益相關者和工作負載。這些合規架構包括家庭教育權利與隱私權法案 (FERPA)、健康保險流通與責任法案 (HIPAA)、聯邦風險與授權管理計劃 (FedRAMP)、網路安全成熟度模型認證 (CMMC)、國際武器貿易法規 (ITAR)、刑事司法資訊服務 (CJIS) 和支付卡產業資料安全標準 (PCI DSS)。在某些情況下,例如使用 CMMC,在相關工作負載通過合規認證之前,不會發行研究授予資金。每個架構都是唯一的,可能僅適用於一部分的工作負載。請確定您知道哪些工作負載必須遵循哪些要求,而且能夠在每個工作負載環境中達成這些要求。在雲端環境中,請確定您了解與雲端供應商的責任相比的責任。您應該具備實現和維護合規所需的知識、資源和技能集。 + **您有哪些機制可在多個雲端提供者之間強制執行合規性,而不會抑制創新?** 如果您的學術機構是第一次使用雲端,我們建議您選擇一個主要策略雲端服務供應商,並專注於了解如何架構、設計和操作設計上安全的雲端環境。理想情況下,自動內嵌在自助式系統中的安全控制,可讓使用者快速部署安全雲端環境,並盡可能減少 IT 團隊介入。專注於單一供應商會限制您必須投入的資源量和時間,以確保安全性和合規性。最成功的機構會選擇可支援大多數合規要求的雲端服務供應商、擁有強大的合作夥伴網路、提供預先建置的合規解決方案,以及提供安全的自助式自動化。如果您必須確保跨多個雲端提供者的安全性和合規性,則需要額外的投資來建置技能集和資源,以管理每個環境的合規性。如果每個雲端提供者使用不同的基礎環境或登陸區域,您需要了解每個登陸區域可以支援的合規標準和要求,這可能會決定是否可以在該提供者上託管特定工作負載。您可以個別管理每個供應商的合規,或使用自訂建置的或合作夥伴解決方案來集中跨供應商的管理。 [AWS Marketplace](https://aws.amazon.com/marketplace)提供也可滿足您的合規需求的統包解決方案。 + **如何評估和控制多個雲端供應商的成本和用量?** 如果您的學術機構是初次使用雲端,我們建議您建立成本可見性和控制機制,以深入了解哪些雲端服務正在使用、哪些雲端資源所屬、這些雲端資源的用途,以及透過最佳化耗用量可節省哪些潛在成本。機構可以與其雲端服務供應商合作,遷移和現代化關鍵任務系統,從而實現顯著的投資回報,因為他們可以協商企業級協議、受益於大量定價,並利用雲端服務供應商的專業知識。如果您必須控制多個供應商的成本和用量,請考慮如何彙總和分析每個供應商的成本和用量,無論是使用內部程序和工具或使用合作夥伴解決方案。許多組織開始將雲端財務操作 (FinOps) 識別為關鍵功能,並分配資源來宣傳和實作雲端成本管理和最佳化的功能。 + **您是否有可隨時間輕鬆管理使用者許可的機制?** 我們建議學術機構在第一次接近雲端時了解核心利益相關者的需求。機構系統的使用者包括學生、教職員、研究人員、IT 人員、管理人員、安全人員、一般大眾和第三方合作者。您應該識別這些使用者的核心需求,並確保您擁有適當的機制來授予他們雲端服務的存取權。不同類型的使用者需要不同類型的雲端服務存取權。例如,學生、教職員和一般大眾需要存取應用程式;IT 人員、管理員和安全需要存取雲端基礎設施;研究人員及其第三方協作者需要存取安全的研究環境;教職員需要存取安全教學環境,甚至可能想要為學生提供雲端技術的實作存取。您應該備妥工具,以自動化方式[集中管理這些身分](identity-sso.md),並使用已建立的程序來識別、授予和撤銷許可,因為角色和責任會隨著時間而變更。 + **您是否有適當的機制來將新系統與身分管理解決方案整合?** 我們建議學術機構輕鬆將新系統與其身分管理系統整合。這可讓利益相關者採購和建置可輕鬆整合至身分管理系統的系統,藉此為機構提供支援各種關鍵任務功能的彈性。透過簡化整合程序,利益相關者不太可能使用自己的存取控制措施,這可能不會強制執行安全最佳實務,例如單一登入、通行金鑰和多重驗證 (MFA)。請確定您的身分管理系統可以透過原生整合或業界標準通訊協定,與必要的系統相互操作。 + **您是否有適當的機制來啟用有效的事件偵測和回應?** 教育機構通常是網路攻擊和勒索軟體的目標。為了協助有效地偵測和回應這類事件,我們建議分叉的方法: + 將您的工作重點放在自動嵌入雲端環境中的安全控制形式的預防性措施上。 + 實作偵測功能,協助網路事件回應者及時偵測、遏制和緩解安全漏洞。 與合規一樣,您必須確保您擁有可偵測、防止和回應每個環境中事件的資源、技能集和工具。透過專注於單一主要雲端提供者,您可以限制所需的資源。沒有成熟安全營運團隊的學術機構,應尋求獨立的軟體廠商、受管偵測和回應供應商,以及網路安全顧問協助這些領域。