Übersicht
Diese Lösung schafft einen Mechanismus zur zentralen Speicherung von Beweisen, die von den Cloud-Sicherheitskontrollen für AWS-Workloads ausgegeben werden, als dauerhafte Beweisaufzeichnungen, die vor Manipulationen geschützt sind. Gespeicherte Kontrollnachweise können anschließend in Mechanismen zur Bewertung der Einhaltung von Vorschriften, für Bereitstellungsentscheidungen oder für Audit-Prozesse verwendet werden.
Eine Beweisaufzeichnung ist ein vom System oder von Menschen erstellter digitaler Datensatz eines historischen Sachverhalts, der sich auf eine oder mehrere Zielentitäten bezieht und von einem Beweisanbieter ausgegeben wird.
Hinweis: AWS bietet keine Beratung zur Einhaltung von Gesetzen und Vorschriften. Sie sollten die Eignung des Verifiable Controls Evidence Store für Ihren Anwendungsfall unabhängig bewerten, auch im Hinblick auf die Erfüllung etwaiger Prüfungs-, Compliance- und behördlicher Anforderungen, die Sie haben.
Neuerungen
Ein neuer (optionaler) S3-Beweissammler wurde hinzugefügt, um eine Reihe von S3-Buckets zu überwachen und Beweise zu erstellen, wenn neue Objekte in einen dieser Buckets eingefügt werden.
Weitere Informationen finden Sie auf der Seite Revisionen.
Vorteile
Speichern und finden Sie Beweise nahezu in Echtzeit. Rufen Sie Datensätze ab, um festzustellen, ob Softwareversionen die Compliance-Anforderungen erfüllen, um Entscheidungen über die Bereitstellung zu erleichtern, oder greifen Sie nachträglich auf Beweise zu, um bei Ad-hoc-Audits oder Untersuchungen zu helfen.
Integrieren Sie AWS, Drittanbieter und benutzerdefinierte System- oder Human Evidence Provider mit unterschiedlichen Datenformaten. Benutzerdefinierte Schemata ermöglichen die Unterstützung verschiedener Beweistypen. Korrelieren Sie historische Beweise, die sich auf Zielentitäten beziehen, die für Ihre Umgebung definiert wurden, z. B. Anwendungsversionen oder Bereitstellungsumgebungen.
Interagieren Sie über eine Webanwendung und/oder APIs, um Beweise zu verwalten und Beweisanbieter einzubinden. Alle Aktionen und Aufgaben werden von beiden Schnittstellen unterstützt.
Überprüfen Sie die Datenintegrität der gespeicherten Beweisaufzeichnungen. Die Lösung verwendet die Amazon Quantum Ledger Database (QLDB), um die Unveränderlichkeit zu gewährleisten und die kryptografische Überprüfung von Beweisen zu ermöglichen.
Technische Details
Sie können diese Architektur mithilfe des Implementierungsleitfadens automatisch bereitstellen.
Schritt 1
Der AWS Cloud Development Kit (CDK)-Code setzt eine Amazon-CloudFront-Verteilung eine, um die optionale Benutzeroberfläche bereitzustellen. CloudFront bietet niedrige Latenzzeiten, hohe Leistung und sicheres statisches Webhosting. Einen Web-UI-Bucket von Amazon Simple Storage Service (Amazon S3) hostet die statischen Artefakte der Webanwendung.
Schritt 2
Einen Amazon-Cognito-Benutzerpool, um den Kunden einen schnellen und bequemen Authentifizierungsmechanismus zu bieten, mit dem sie die Funktionalitäten der Lösung ohne umfangreiche Konfiguration erkunden können.
Schritt 3
Amazon API Gateway, um eine Reihe von RESTful APIs bereitzustellen. API Gateway verarbeitet HTTP-Anfragen, die von den Verbrauchern des Evidence Store gestellt werden. Es orchestriert die Authentifizierungs- und Autorisierungs-Workflows, indem es die Anmeldeinformationen der Anfrage (Signatur und API-Schlüssel) anhand von AWS Identity and Access Management (IAM) und dem API-Nutzungsplan validiert.
Schritt 4
Eine AWS-Lambda-Funktion zum Speichern von Beweisen, um die validierten Anfragen von API Gateway zu verarbeiten. Diese Lambda-Funktion kapselt die Geschäftslogik der Lösung. Sie empfängt Rest-Anfragen des Benutzers über API Gateway, validiert sie und speichert und ruft Daten in und aus den verschiedenen Datenbanken ab.
Schritt 5
Amazon Quantum Ledger Database (Amazon QLDB) zur Nachverfolgung und Speicherung von Beweisaufzeichnungen. Amazon QLDB gewährleistet die Unveränderbarkeit und die kryptografische Überprüfbarkeit von Datensätzen. Der Inhalt der Datensätze wird in Amazon S3 gespeichert und ihre Hash-Werte werden in Amazon QLDB aufbewahrt.
Schritt 6
Amazon DynamoDB zum Speichern von Beweisanbietern und ihren jeweiligen Beweisinhaltsschemas. Die anfrageverarbeitende Lambda-Funktion stützt sich auf diese Daten, um den Inhalt der Nachweise zu überprüfen, bevor sie in ihr Amazon-QLDB-Ledger übertragen werden.
Schritt 7
Eine Stream-Verarbeitungs-Lambda-Funktion zur Replikation von Beweisaufzeichnungen an den Amazon OpenSearch Service, der erweiterte Abfragemöglichkeiten (Volltextsuche) über die gesamte Beweisaufzeichnungsdatenstruktur bietet.
Schritt 8
Amazon Kinesis Data Streams, um Datensätze auf OpenSearch Service zu replizieren, um Kunden ein besseres Abfrageerlebnis zu bieten. Amazon Kinesis bietet die Kanäle für die Lösung zur Replikation und Archivierung von Datensätzen in nahezu Echtzeit.
Schritt 9
Amazon Kinesis Data Firehose, um Beweisaufzeichnungen in einem S3-Bucket zu archivieren.
Schritt 10
Amazon CloudWatch und AWS X-Ray zum Protokollieren und Überwachen.
Schritt 11
AWS Config und AWS Security Hub zum Veröffentlichen der Ergebnisse in Amazon EventBridge.
Schritt 12
Amazon Simple Queue Service (Amazon SQS), um AWS Config und dem Security-Hub-Evidence-Collector Funktionen zur Ratenbegrenzung zur Verfügung zu stellen.
Schritt 13
Lambda-Funktionen zum Sammeln von Beweisen, die die API zum Erstellen von Beweisen aufruft, um die Erkenntnis aufzuzeichnen. Dazu gehören der Security-Hub-Evidence-Collector und der S3-Evidence-Collector.
Schritt 1
Der AWS Cloud Development Kit (CDK)-Code setzt eine Amazon-CloudFront-Verteilung eine, um die optionale Benutzeroberfläche bereitzustellen. CloudFront bietet niedrige Latenzzeiten, hohe Leistung und sicheres statisches Webhosting. Einen Web-UI-Bucket von Amazon Simple Storage Service (Amazon S3) hostet die statischen Artefakte der Webanwendung.
Schritt 2
Einen Amazon-Cognito-Benutzerpool, um den Kunden einen schnellen und bequemen Authentifizierungsmechanismus zu bieten, mit dem sie die Funktionalitäten der Lösung ohne umfangreiche Konfiguration erkunden können.
Schritt 3
Amazon API Gateway, um eine Reihe von RESTful APIs bereitzustellen. API Gateway verarbeitet HTTP-Anfragen, die von den Verbrauchern des Evidence Store gestellt werden. Es orchestriert die Authentifizierungs- und Autorisierungs-Workflows, indem es die Anmeldeinformationen der Anfrage (Signatur und API-Schlüssel) anhand von AWS Identity and Access Management (IAM) und dem API-Nutzungsplan validiert.
Schritt 4
Eine AWS-Lambda-Funktion zum Speichern von Beweisen, um die validierten Anfragen von API Gateway zu verarbeiten. Diese Lambda-Funktion kapselt die Geschäftslogik der Lösung. Sie empfängt Rest-Anfragen des Benutzers über API Gateway, validiert sie und speichert und ruft Daten in und aus den verschiedenen Datenbanken ab.
Schritt 5
Amazon Quantum Ledger Database (Amazon QLDB) zur Nachverfolgung und Speicherung von Beweisaufzeichnungen. Amazon QLDB gewährleistet die Unveränderbarkeit und die kryptografische Überprüfbarkeit von Datensätzen. Der Inhalt der Datensätze wird in Amazon S3 gespeichert und ihre Hash-Werte werden in Amazon QLDB aufbewahrt.
Schritt 6
Amazon DynamoDB zum Speichern von Beweisanbietern und ihren jeweiligen Beweisinhaltsschemas. Die anfrageverarbeitende Lambda-Funktion stützt sich auf diese Daten, um den Inhalt der Nachweise zu überprüfen, bevor sie in ihr Amazon-QLDB-Ledger übertragen werden.
Schritt 7
Eine Stream-Verarbeitungs-Lambda-Funktion zur Replikation von Beweisaufzeichnungen an den Amazon OpenSearch Service, der erweiterte Abfragemöglichkeiten (Volltextsuche) über die gesamte Beweisaufzeichnungsdatenstruktur bietet.
Schritt 8
Amazon Kinesis Data Streams, um Datensätze auf OpenSearch Service zu replizieren, um Kunden ein besseres Abfrageerlebnis zu bieten. Amazon Kinesis bietet die Kanäle für die Lösung zur Replikation und Archivierung von Datensätzen in nahezu Echtzeit.
Schritt 9
Amazon Kinesis Data Firehose, um Beweisaufzeichnungen in einem S3-Bucket zu archivieren.
Schritt 10
Amazon CloudWatch und AWS X-Ray zum Protokollieren und Überwachen.
Schritt 11
AWS Config und AWS Security Hub zum Veröffentlichen der Ergebnisse in Amazon EventBridge.
Schritt 12
Amazon Simple Queue Service (Amazon SQS), um AWS Config und dem Security-Hub-Evidence-Collector Funktionen zur Ratenbegrenzung zur Verfügung zu stellen.
Schritt 13
Lambda-Funktionen zum Sammeln von Beweisen, die die API zum Erstellen von Beweisen aufruft, um die Erkenntnis aufzuzeichnen. Dazu gehören der Security-Hub-Evidence-Collector und der S3-Evidence-Collector.
- Datum der Veröffentlichung