亚马逊AWS官方博客

新增 – AWS Audit Manager 现为第一批第三方 GRC 集成提供支持

审计是一个持续的过程,并且每次审计都需要收集证据。收集到的证据有助于确认资源的状态,用于证明客户的政策、程序和活动(控制措施)已经落实到位,并且控制措施在指定时间段内发挥了作用。AWS Audit Manager 已针对 AWS 使用情况自动收集此类证据。但大型企业组织会将工作负载部署到不同位置(如云端和/或本地),他们需要结合使用第三方或自主开发的工具、电子表格和电子邮件来管理这些证据数据。

今天,我们要很高兴地宣布,AWS Audit Manager 已与第三方治理、风险与合规(GRC)提供商 MetricStream CyberGRC 集成,该提供商是具有 GRC 能力的 AWS 合作伙伴。通过此集成,企业可在集中式 GRC 环境中管理 AWS、本地和其他云环境中的合规性。

在此次公告发布之前,Audit Manager 仅支持 AWS 环境,允许客户在 AWS 中收集资源的合规证据。然后,他们会将该信息转发到他们在 AWS 外部的 GRC 系统,以进行额外的信息汇总和分析。该流程导致客户无法通过自动化方式在一个集中位置监控和评估所有合规数据,从而造成合规结果延误。

GRC 与 Audit Manager 集成之后,您可以直接在 MetricStream CyberGRC 中使用 Audit Manager 收集的审计证据。Audit Manager 现在从 MetricStream CyberGRC 接收范围内的控制措施,收集有关这些控制措施的证据,并将与审计相关的数据导出到 MetricStream CyberGRC 进行汇总和分析。现在,您可以获得汇总的合规数据、实时监控和集中化报告。这将减少合规疲劳,并改善利益相关方的协作。

工作原理
您将使用 Amazon Cognito 用户群体,加入 MetricStream CyberGRC 的多租户实例。

Amazon Cognito 用户群体示意图

Amazon Cognito 用户群体

加入后,您将能够在 MetricStream CyberGRC 中查看 AWS 资产和框架。然后,您可以先选择适当的 Audit Manager 框架,定义现有企业控制措施与 AWS 控制措施之间的关系。创建这种一次性的控制措施映射后,您可以定义范围内的账户,以创建 MetricStream CyberGRC 将代表您在 AWS Audit Manager 中管理的评估。此评估会触发 AWS Audit Manager 在已映射控制措施的背景下收集证据。这样,您就可以在 GRC 应用程序中获得统一的合规证据视图。只要发生自动映射失败或不足以满足需求的情况,您在 Audit Manager 中拥有的任何标准控制措施都将使用 GetControl API 提供给 MetricStream CyberGRC,以促进手动映射过程。EvidenceFinder API 会将 Audit Manager 中的批量证据发送到 MetricStream CyberGRC。

现已推出
此功能现已推出,在可以同时使用 Audit Manager(AWS 区域)和 MetricStream CyberGRC 的位置提供使用。使用此集成不收取额外的 AWS Audit Manager 费用。要使用此集成,请联系 MetricStream,获取有关访问和购买 MetricStream CyberGRC 软件的信息。

作为 AWS Free Tier 的一部分,AWS Audit Manager 为首次使用的客户提供免费套餐。免费套餐将在首次订阅后的两个日历月后到期。有关更多信息,请参阅 AWS Audit Manager 定价。要了解有关 AWS Audit Manager 与 MetricStream CyberGRC 集成的更多信息,请参阅 Audit Manager 文档

Veliswa