本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
分配安全所有權
AWS 共同的責任模型
您可以在組織內鏡像此模型,並在雲端和應用程式團隊之間分配責任。這可協助您更有效地擴充雲端安全性方案,因為應用程式團隊會取得其應用程式特定安全層面的所有權。共用責任模型最簡單的解釋是,如果您有權限設定資源,則您必須負責該資源的安全性。
將安全性責任分配給應用程式團隊的關鍵部分是建置自助式安全工具,以協助您的應用程式團隊自動化 最初,這可以是共同努力。安全團隊可以將安全性需求轉換為程式碼掃描工具,然後應用程式團隊可以使用這些工具來建置解決方案,並與其內部開發人員社群共用解決方案。這有助於提高其他需要滿足類似安全性需求的團隊的效率。
下表概述將擁有權分配給應用程式團隊的步驟,並提供範例。
| 步驟 | 動作 | 範例 |
|---|---|---|
| 1 | 定義您的安全性需求 — 您想要達成什麼目的? 這可能來自安全標準或合規性要求。 | 安全性需求範例為應用程式識別的最低權限存取權。 |
| 2 | 列舉安全性需求的控制項 — 從控制角度來看,這項要求實際上意味著什麼? 我需要做些什麼來實現這一目標? | 若要達到應用程式身分識別的最低權限,下列是兩個範例控制項:
|
| 3 | 控制項的文件指引 — 透過這些控制項,您可以提供哪些指引給開發人員,以協助他們遵守控制項? | 一開始,您可以先記錄簡單的範例政策,包括安全和不安全的 IAM 政策和 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策。接下來,您可以在持續整合和持續交付 (CI/CD) 管道中內嵌政策掃描解決方案,例如使用AWS Config 規則進行主動評估。 |
| 4 | 開發可重複使用的成品 — 借助指導,您能否使其更加容易並為開發人員開發可重複使用的成品? | 您可以建立基礎結構即程式碼 (IaC),以部署遵循最低權限原則的 IAM 政策。您可以將這些可重複使用的成品儲存在程式碼儲存庫 |
自助服務可能不適用於所有安全性需求,但它可以用於標準案例。透過遵循這些步驟,組織可讓其應用程式團隊以可擴充的方式處理更多自己的安全責任。整體而言,分散式責任模型可在許多組織中實現更多協同合作的安全性實務
