主要观点：安全架构师的角色不仅限于设计安全系统，还需持续评估控制措施的有效性以应对不断演变的威胁。随着云原生架构等的发展，单纯的清单式方法已不足够，本指南提供了全面且有影响力的安全评估框架。

关键信息：

• 分为五个关键支柱进行控制分类：主动安全与开发生命周期、威胁检测与事件响应、数据保护与隐私、身份与访问管理、安全治理与运营卓越。
• 各支柱包含的具体控制措施及评估要点，如在主动安全方面的静态应用安全测试等；威胁检测方面的持续监控等；数据保护方面的敏感数据发现等；身份管理方面的身份访问生命周期管理等；安全治理方面的云安全管理门户等。
• 强调有效安全评估是持续的旅程，要理解相互依赖、 prioritize 风险、验证有效性、推动整改、拥抱自动化等。

重要细节：

• 列举了各种具体技术和工具，如 CSPM、WAF、HSM 等及其评估要点。
• 提及不同评估活动的频率，如定期进行漏洞管理、渗透测试等。
• 强调安全架构师要与各部门合作推动整改工作。