亚马逊AWS官方博客

使用 AWS Audit Manager 中的新通用控件库简化风险和合规性评估



借助 AWS Audit Manager,您可以将合规性要求映射到 AWS 使用情况数据,并在风险和合规评估中持续审计 AWS 使用情况。今天,Audit Manager 推出了一个通用控件库,该库使用预定义和预先映射的 AWS 数据来源提供通用控件。

该通用控件库以 AWS 认证审计师进行的大量映射和审查为基础,以验证是否确定了用于收集证据的适当数据来源。治理、风险与合规 (GRC) 团队在将企业控件映射到 Audit Manager 进行证据收集时,可以使用该通用控件库来节省时间,从而减少他们对信息技术 (IT) 团队的依赖。

使用该通用控件库,您可以在一个位置查看与同一个通用控件相关的多个框架(例如 PCIHIPAA)的合规性要求,从而更容易同时了解多个框架的审计就绪情况。这样,您就不需要分别实施不同的合规标准要求,然后针对不同的合规制度多次审查生成的数据。

此外,通过使用该库中的控件,您可以在 Audit Manager 更新或添加新数据来源(例如其他 AWS CloudTrail 事件、AWS API 调用、AWS Config 规则)时自动继承改进,或将其他合规性框架映射到通用控件。这消除了 GRC 和 IT 团队不断更新和管理证据来源所需的工作量,并能更轻松地从 Audit Manager 添加到其库中的其他合规性框架中获益。

让我们通过一个例子来看看这在实践中是如何运作的。

使用 AWS Audit Manager 通用控件库
某家航空公司一种常见的情况是实施一项政策,规定客户付款(包括机上餐食和互联网接入)只能通过信用卡进行。为了实施这一政策,这家航空公司制定了针对 IT 运营的企业控件,规定“客户交易数据始终可用”。 他们如何监控他们在 AWS 上的应用程序是否符合这一新控件要求?

作为他们的合规官,我打开 Audit Manager 控制台,然后从导航栏中选择控件库。控件库现在包括新的通用类别。每个通用控件都映射到一组核心控件,这些核心控件从 AWS 管理的数据来源收集证据,并可以更轻松地证明符合一系列重叠的法规和标准。我浏览了通用控件库并搜索“可用性”。 这里,我意识到该航空公司的预期要求与库中的通用控件高可用性架构相对应。

控制台屏幕截图。

我展开高可用性架构通用控件,以查看底层核心控件。在那里,我注意到这个控件不能充分满足该公司的所有需求,因为 Amazon DynamoDB 不在此列表中。DynamoDB 是一个完全托管的数据库,但鉴于 DynamoDB 在其应用程序架构中的广泛使用,他们肯定希望他们的 DynamoDB 表在其工作负载增加或减少时可用。如果他们为 DynamoDB 表配置了固定吞吐量,可能就无法满足此要求。

我再次浏览通用控件库并搜索“冗余”。 我展开容错和冗余通用控件,以查看它如何映射到核心控件。在那里,我看到了 为 Amazon DynamoDB 表启用自动扩缩核心控件。该核心控件与这家航空公司实施的架构相关,但并不需要整个通用控件。

控制台屏幕截图。

此外,通用控件高可用性架构已经包括几个核心控件,用于检查 Amazon Relational Database Service (RDS) 上的多可用区复制是否已启用,但这些核心控件依赖于 AWS Config 规则。此规则不适用于此用例,因为该航空公司不使用 AWS Config。这两个核心控件之一也使用 CloudTrail 事件,但该事件并不涵盖所有场景。

控制台屏幕截图。

作为合规官,我想收集实际的资源配置。为了收集这些证据,我简单咨询了一位 IT 合作伙伴,并使用客户管理来源创建了自定义控件。我选择 api-rds_describedBinstances API 调用,并设置每周收集频率以优化成本。

控制台屏幕截图。

自定义控件的实施可以由合规团队处理,无需与 IT 团队的过多互动。如果合规团队必须减少对 IT 的依赖,他们可以实施完整的第二项通用控件(容错和冗余),而不是仅选择与 DynamoDB 相关的核心控件。根据他们的架构,这可能超出了他们的需求,但对于合规团队和 IT 团队来说,加快速度并减少时间和精力往往比优化现有控件更有益。

我现在在导航窗格中选择框架库并创建一个包含这些控件的自定义框架。然后,我在导航窗格中选择评估,并创建包含自定义框架的评估。在我创建评估后,Audit Manager 开始收集有关所选 AWS 账户及其 AWS 使用情况的证据。

通过执行这些步骤,合规团队可以采用符合其系统设计和现有 AWS 服务的实施方案,对企业控件“客户交易数据始终可用”进行精确报告。

注意事项
通用控件库现已在提供 AWS Audit Manager 的所有 AWS 区域中可用。使用通用控件库不会产生额外费用。有关更多信息,请参阅 AWS Audit Manager 定价

这项新功能简化了合规和风险评估流程,减少了 GRC 团队的工作量,并简化了他们将企业控件映射到 Audit Manager 进行证据收集的方式。要了解更多信息,请参阅 AWS Audit Manager 用户指南

Danilo