亚马逊AWS官方博客

AWS Audit Manager 简化了审计准备工作

由于手动方式容易出错,并且有时采用分布式的流程,导致及时收集证据来支持审计可能是一项重大挑战。如果您的企业需要遵守合规性要求,准备审计可能会导致生产力严重下降和业务中断。您可能还会在将传统审计做法应用到云基础设施时遇到问题,因为这些做法最初是为传统本地系统设计的。

为了满足复杂和不断变化的法规和合规标准要求,包括《通用数据保护条例》(GDPR)、《健康保险携带和责任法案》(HIPAA) 以及《支付卡行业数据安全标准》(PCI DSS),您需要收集、验证和合成证据。

您还需要不断重新评估您的 AWS 使用情况对这些不断变化的合规性控制要求的履行情况。为了满足要求,您可能需要证明已启用了数据加密,并展示以下内容:显示服务器配置更改的日志文件、显示应用程序高可用性的图表、显示所需培训已完成的记录单、显示软件使用量未超出许可数量的电子表格等。这些工作有时需要数十名员工和顾问,可能要持续几周才能完成。

AWS Audit Manager 现已推出,它是一项完全托管的服务,为常见的行业标准和法规提供了预构建的框架,并且可以自动完成持续收集证据的工作以帮助您为审计做好准备。持续自动收集与您的 AWS 资源使用情况相关的证据,帮助简化风险评估和对法规及行业标准的遵从性,并帮助您保持持续的审计就绪的状态,从而提供更快速、中断更少的准备过程。

内置的可自定义框架将云资源的使用情况映射到不同合规性标准的控件,并使用方便审计员使用的术语将证据转化为审计就绪的不可变的评估报告。您还可以搜索、筛选和上传要包含在最终评估中的其他证据,例如本地基础设施的详细信息,或者业务连续性计划、培训记录和政策文档等程序的详细信息。

鉴于审计准备工作通常涉及多个团队,委派工作流程功能允许您将控制权分配给主题专家进行审核。例如,您可以将审查网络安全证据的工作委派给网络安全工程师。

最终评估报告包含摘要统计数据和一个包含所有证据文件的文件夹,这些文件都按照相关合规框架的确切结构进行整理。将证据收集并整理到一个位置后,就可以立即进行审核,从而使审计团队能够更轻松地验证证据、回答问题和添加补救计划。

开始使用 Audit Manager
我们首先创建和配置一个新的评估。在 Audit Manager 控制台主页中,单击 Launch AWS Audit Manager(启动 AWS Audit Manager)转到我的 Assessments(评估)列表(我也可以通过控制台主页左侧的导航工具栏访问此列表)。在此列表中,我单击 Create assessment(创建评估)来启动一个向导,引导我完成新评估的设置。首先,我为评估提供一个名称和可选描述,然后指定一个 Amazon Simple Storage Service (S3) 存储桶,用于存储与评估相关的报告。

接下来,我选择评估的框架。我可以从各种预构建的框架或我自己创建的自定义框架中进行选择。自定义框架可以从头开始创建,也可以基于现有框架创建。在这里,我将使用预构建的 PCI DSS 框架。

框架选择的屏幕截图单击 Next(下一步)后,我可以选择要包含在我的评估中的 AWS 账户(Audit Manager 还与 AWS Organizations集成在一起)。由于我只有一个账户,因此我选择该账户并单击 Next(下一步),然后继续选择我想要包含在证据收集中的 AWS 服务。我将包含所有建议的服务(默认设置),然后单击 Next(下一步)以继续。

选择用于评估的服务的屏幕截图接下来,我需要选择评估的所有者,他们拥有管理评估的完整权限(所有者可以是 AWS Identity and Access Management (IAM) 用户或角色)。您必须至少选择一个所有者,因此我选择我的账户,然后单击 Next(下一步)转到最终的 Review and create(审核和创建)页面。最后,单击 Create assessment(创建评估)开始为我的新评估收集证据。这可能需要一段时间才能完成,因此我将切换到另一个评估来检查我可以查看哪些类型的证据,并选择包含在我的评估报告中。

返回到 Assessments(评估)列表视图,单击评估名称可查看评估的详细信息、正在收集的证据的控件摘要,以及控件的目标分组控制集列表。Total evidence(全部证据)告诉我评估中包含的事件和支持文档的数量。我可以通过其他选项卡深入了解我为最终报告选择的证据、评估中包含哪些账户和服务,以及谁拥有该报告等信息。我还可以导航到正在其中收集证据的 S3 存储桶。

评估主页屏幕截图展开控制集可以看到相关控件,其中包含可深入了解给定控件的链接及控件的状态(Under review(正在审核)、Reviewed(已审核)和 Inactive(不活动))、将控件委托给谁进行审查、为该控件收集的证据数量,以及控件和证据是否已添加到最终报告中。如果我将控件更改为 Inactive(不活动),这意味着该控件的自动证据收集将停止,并且会记录此操作。

评估控件的屏幕截图让我们仔细看一下控件,以展示自动证据收集如何在我开始编译审计报告之前帮助识别合规性问题。展开 Default control set(默认控件集),我单击控件 8.1.2 For a sample of privileged user IDs…(8.1.2,对于特权用户 ID 的样本…),系统将显示一个视图,其中提供有关该控件及其测试方法的更多详细信息。向下滚动,列出了一组证据文件夹,我注意到在这里存在一些问题。单击 Compliance check(合规性检查)列中的问题链接可看到关于数据来源的摘要信息。在这里,我还可以选择希望包含在最终报告中的证据。

问题摘要的屏幕截图接下来,我可以单击证据文件夹,并注意到出现了故障,然后单击故障时间可看到关于此控件的问题的详细摘要信息以及问题修复办法。

控件证据的屏幕截图证据详细信息的屏幕截图随着证据的不断收集,选择要包含在我的评估报告中的充足控件和适当证据,然后再将报告传递给我的审计员是一项十分简单的任务。为了写这篇文章,我已经提前选择了一些控件的证据包含在我的报告中。然后,我选择了 Assessment report selection(评估报告选择)选项卡,这里可以查看我选择的证据,然后单击 Generate assessment report(生成评估报告)。在出现的对话框中,我为报告指定了名称,然后单击 Generate assessment report(生成评估报告)。对话框关闭后,显示 Assessment reports(评估报告)视图,当我的报告准备就绪后,我可以选择它并下载一个包含报告和所选证据的 zip 文件。或者,我也可以打开与评估关联的 S3 存储桶(从评估的详细信息页面中),并在那里查看报告详细信息和证据,如下面的屏幕截图所示。列出了整体报告(以 PDF 文件格式),如果我深入证据文件夹,还可以查看与我选择的特定证据项目相关的 PDF 文件。

S3 中评估报告输出的屏幕截图要关闭报告,下面是评估报告 PDF 文件开头部分的屏幕截图,其中显示了我在创建评估时选择要包含在内的所选控件、证据以及服务的数量。打开更多页面可查看更多详细信息。

评估报告的屏幕截图Audit Manager 今天开始在 10 个 AWS 区域提供:美国东部(费吉尼亚北部、俄亥俄)、美国西部(加利福尼亚北部、俄勒冈)、亚太地区(新加坡、悉尼、东京)和欧洲(法兰克福、爱尔兰、伦敦)。

获取有关 AWS Audit Manager 的所有详细信息并立即开始使用。

– Steve