亚马逊AWS官方博客
AWS Control Tower 新增功能 – 全面控制管理(预览版)
如今,受监管行业的客户面临的挑战是定义和实施满足合规性和安全要求所需的控制措施,同时赋予工程师做出设计选择的能力。除了满足风险、可靠性、性能和弹性要求外,组织可能还需要符合诸如 PCI DSS 和 NIST 800-53 之类的框架和标准。
构建考虑服务关系及其依赖关系的控制既耗时又昂贵。有时,在云架构师发现风险并实施自己的控制措施之前,客户会限制工程人员对 AWS 服务和功能的访问。
为了简化操作,我们如今在 AWS Control Tower 中推出全面的控制管理。您可以使用它按服务、控制目标或合规性框架对账户和组织部门(OU)应用托管预防、检测和主动控制。 AWS Control Tower 代表您在它们之间进行映射,从而节省时间和精力。
借助这项新功能,您现在还可以使用 AWS Control Tower 跨 OU 中的所有账户启用 AWS Security Hub 检测控制。通过这种方式,可以在 AWS Control Tower 管理的每个 AWS 区域启用 Security Hub 控制。
我们来看看这些步骤的实际操作。
使用 AWS Control Tower 全面控制管理
在 AWS Control Tower 控制台中,有一个新的 Controls library(控件库)部分。您可在此选择 All controls(所有控件)。现在有三百多个控件可用。对于每个控件,我都会看到它与哪项 AWS 服务相关、该控件所属的控制目标、实施(如 AWS Config 规则或 AWS CloudFormation Guard 规则)、行为(预防性、检测性还是主动性)以及它映射到的框架(如 NIST 800-53 或 PCI DSS)。
在 Find controls(查找控件)搜索框中,我要查找名为 CT.CLOUDFORMATION.PR.1 的预防性控件。此控件使用服务控制策略(SCP)来保护使用 CloudFormation 挂钩的控件,我接下来要启用的控件所必需的。然后,我选择 Enable control(启用控件)。
然后,我选择要为其启用此控件的 OU。
现在,我已设置此控件,让我们看看控件是如何在控制台中按类别显示的。我在导航窗格中选择 Categories(类别)。我可以在此处浏览分组为 Frameworks(框架)、Services(服务)和 Control objectives(控制目标)的控件。默认情况下,Frameworks(框架)选项卡处于选中状态。
我选择一个框架(例如 PCI DSS 版本 3.2.1)来查看所有相关控件和控制目标。要实施控件,我可以从列表中选择该控件并选择 Enable control(启用控件)。
我还可以通过 AWS 服务管理控件。当我选择 Services(服务)选项卡时,我会看到 AWS 服务列表以及相关的控制目标和控件。
我选择 Amazon DynamoDB 以查看我可以为此服务启用的控件。
我选择 Control objectives(控制目标)选项卡。当我需要评估控制目标时,我可以在此处访问要启用的相关控件列表。
我选择 Encrypt data at rest(加密静态数据)以查看和搜索该控制目标的可用控件。我还可以查看此特定案例中涵盖了哪些服务。我在搜索栏中键入 RDS
以查找与 Amazon Relational Database Service(RDS)相关的控件,用于实现此控制目标。
我选择 CT.RDS.PR.16 – Require an Amazon RDS database cluster to have encryption at rest configured(CT.RDS.PR.16 – 需要将 Amazon RDS 数据库集群配置为静态加密),然后选择 Enable control(启用控件)。
我选择了要为其启用控件的 OU,然后继续。该组织的 OU 中的所有 AWS 账户都将在 AWS Control Tower 管辖的所有区域启用此控件。
几分钟后,AWS Control Tower 设置已更新。现在,此 OU 中的账户已启用主动控件 CT.RDS.PR.16。当此 OU 中的账户部署 CloudFormation 堆栈时,任何 Amazon RDS 数据库集群都必须配置为静态加密。由于此控件是主动的,因此在部署开始之前,CloudFormation 挂钩将对其进行检查。与仅在 CloudFormation 部署正在进行或已终止时才发现问题的检测控件相比,这节省了大量时间。这还可以通过阻止不允许的操作而不是事后应对来改善我的安全状况。
可用性和定价
全面控制管理现已在提供 AWS Control Tower 的所有 AWS 区域推出预览版。这些增强的控制功能将审查 AWS 服务所需的时间从几个月或几周缩短到几分钟。它们通过承担定义、映射和管理满足最常见控制目标和法规所需控件的沉重负担来帮助您使用 AWS。
在预览期间使用这些新功能无需额外付费。但是,当您设置 AWS Control Tower 时,您将开始为设置登录区和强制性控制而配置的 AWS 服务付费。有关更多信息,请参阅 AWS Control Tower 定价。
使用 AWS Control Tower 简化实施合规性和安全要求的方式。
– Danilo