主要观点：谈论受监管的工作负载就是在谈论合规，需基于可证明的控制对其进行评估，如最小特权访问、静态加密等。有 NIST SP 800-53 Rev. 5 等框架，Policy-as-Code（PaC）可将书面控制转化为可审查的重复程序。
关键信息：

• 有三种实施模型的实际层级，包括 Git Pull Request Checks（轻量级基础设施即代码扫描）、Terraform Plan-Time Gate Enforcement（针对 Terraform 将更改的决策进行强制）、Organizational Guardrails（多种云服务的策略限制）。
• 一个包含五项规则的小策略包能实现快速降低风险，如对象存储等的静态加密等。
• 分阶段实施，包括咨询阶段、目标实施阶段、组织限制阶段和运行时状态与反馈阶段，每个阶段有不同的重点和操作。
  重要细节：
• Checkov 工具可处理原始 HCL 并分析 Terraform 计划输出以减少误报。
• Terraform 可将计划蓝图以机器可读形式扩展，OPA 可直接根据 Terraform 的计划 JSON 评估 Rego 策略。
• 各云服务（如 AWS SCP、Azure 策略、GCP 组织策略）都有各自的限制和作用。
• 实施过程中的注意事项，如逐步采用、偏好计划感知检查、保持单一真相源、谨慎管理例外等。