Información general
Esta solución ofrece un mecanismo para almacenar de forma centralizada las pruebas emitidas por los controles de seguridad en la nube que rigen las cargas de trabajo de AWS, como registros de pruebas perdurables y protegidos contra la manipulación. Las pruebas almacenadas de los controles se pueden utilizar posteriormente en los mecanismos de evaluación del cumplimiento, en las decisiones de implementación o en los procesos de auditoría.
Un registro de pruebas es un registro digital generado por el sistema o por un ser humano de un hecho histórico, relacionado con una o más entidades de destino, y emitido por un proveedor de pruebas.
Nota: AWS no brinda asesoramiento sobre cumplimiento o normativa. Debe evaluar de forma independiente la idoneidad del Almacén de pruebas de controles verificables para su caso de uso, inclusive a efectos de cumplir con los requisitos de una auditoría, de cumplimiento y normativos que pueda tener.
Novedades
Se ha agregado un nuevo recopilador de pruebas de S3 (opcional) para supervisar un conjunto de buckets de S3 y generar pruebas cuando se coloquen nuevos objetos en cualquiera de estos buckets.
Para obtener más información, consulte la página Revisions (Revisiones).
Beneficios
Almacene y recupere las pruebas casi en tiempo real. Consulte los registros de pruebas para determinar si las versiones de software cumplen los requisitos de cumplimiento y así facilitar las decisiones de implementación, o acceda a las pruebas de forma retrospectiva para prestar apoyo en auditorías o investigaciones ad hoc.
Incorpore AWS, proveedores terceros, así como proveedores de pruebas personalizadas, de sistemas o humanos, con diferentes formatos de datos. Los esquemas personalizados permiten admitir varios tipos de pruebas. Establezca correlaciones entre las pruebas históricas relacionadas con las entidades de destino definidas para el entorno, como los lanzamientos de aplicaciones o los entornos de implementación.
Interactúe a través de una aplicación web o de las API para administrar las pruebas e incorporar a los proveedores de pruebas. Todas las acciones y tareas son compatibles con ambas interfaces.
Verifique la integridad de los datos de los registros de pruebas que se han almacenado. La solución utiliza Amazon Quantum Ledger Database (QLDB), una base de datos de libro mayor, para garantizar la inmutabilidad y permitir la verificación criptográfica de las pruebas.
Detalles técnicos
Puede implementar automáticamente esta arquitectura mediante la guía de implementación.
Paso 1
El código del AWS Cloud Development Kit (CDK) implementa una distribución de Amazon CloudFront para entregar la interfaz de usuario opcional. CloudFront ofrece una baja latencia, un alto rendimiento y un alojamiento web estático seguro. Un bucket de interfaz de usuario web de Amazon Simple Storage Service (Amazon S3) aloja los artefactos estáticos de la aplicación web.
Paso 2
Un grupo de usuarios de Amazon Cognito para proporcionar a los clientes un mecanismo de autenticación rápido y cómodo para explorar las funcionalidades de la solución sin necesidad de una extensa configuración.
Paso 3
Amazon API Gateway para exponer un conjunto de API de RESTful. API Gateway procesa las solicitudes HTTP emitidas por los consumidores del almacén de pruebas. Orquesta los flujos de trabajo de autenticación y autorización mediante la validación de las credenciales de la solicitud (firma y clave de la API) con respecto a AWS Identity and Access Management (IAM) y su plan de uso de la API.
Paso 4
Una función de AWS Lambda de almacén de pruebas para procesar las solicitudes validadas desde API Gateway. Esta función de Lambda encapsula la lógica empresarial de la solución y recibe las solicitudes de transferencia de estado representacional del usuario a través de API Gateway, las valida y almacena y recupera los datos entre las distintas bases de datos.
Paso 5
Amazon Quantum Ledger Database (Amazon QLDB) para rastrear y almacenar registros de pruebas. Amazon QLDB garantiza la inmutabilidad de los registros de pruebas y su carácter criptográficamente verificable. El contenido de los registros de pruebas se almacena en Amazon S3 con sus valores hash conservados en Amazon QLDB.
Paso 6
Amazon DynamoDB para almacenar los proveedores de pruebas y sus respectivos esquemas de contenido de pruebas. La función de Lambda que procesa las solicitudes se basa en estos datos para validar el contenido de las pruebas antes de la confirmación en su libro mayor de Amazon QLDB.
Paso 7
Una función de Lambda procesa secuencias para replicar los registros de pruebas en Amazon OpenSearch Service, que ofrece capacidades de consulta avanzadas (búsqueda de texto completo) en toda la estructura de datos de los registros de pruebas.
Paso 8
Amazon Kinesis Data Streams para replicar los registros en OpenSearch Service a fin de ofrecer a los consumidores una mejor experiencia de consulta. Amazon Kinesis proporciona los canales para que la solución replique y archive los registros de pruebas casi en tiempo real.
Paso 9
Amazon Kinesis Data Firehose para archivar registros de pruebas en un bucket de S3.
Paso 10
Amazon CloudWatch y AWS X-Ray para el registro y la supervisión.
Paso 11
AWS Config y AWS Security Hub para publicar los resultados en Amazon EventBridge.
Paso 12
Amazon Simple Queue Service (Amazon SQS) para proporcionar capacidades de limitación de velocidad a AWS Config y al recopilador de pruebas de Security Hub.
Paso 13
Funciones de Lambda de recopilación de pruebas para invocar la Create Evidence API a fin de registrar el resultado. Entre estas se incluyen el recopilador de pruebas de Security Hub y el recopilador de pruebas de S3.
Paso 1
El código del AWS Cloud Development Kit (CDK) implementa una distribución de Amazon CloudFront para entregar la interfaz de usuario opcional. CloudFront ofrece una baja latencia, un alto rendimiento y un alojamiento web estático seguro. Un bucket de interfaz de usuario web de Amazon Simple Storage Service (Amazon S3) aloja los artefactos estáticos de la aplicación web.
Paso 2
Un grupo de usuarios de Amazon Cognito para proporcionar a los clientes un mecanismo de autenticación rápido y cómodo para explorar las funcionalidades de la solución sin necesidad de una extensa configuración.
Paso 3
Amazon API Gateway para exponer un conjunto de API de RESTful. API Gateway procesa las solicitudes HTTP emitidas por los consumidores del almacén de pruebas. Orquesta los flujos de trabajo de autenticación y autorización mediante la validación de las credenciales de la solicitud (firma y clave de la API) con respecto a AWS Identity and Access Management (IAM) y su plan de uso de la API.
Paso 4
Una función de AWS Lambda de almacén de pruebas para procesar las solicitudes validadas desde API Gateway. Esta función de Lambda encapsula la lógica empresarial de la solución y recibe las solicitudes de transferencia de estado representacional del usuario a través de API Gateway, las valida y almacena y recupera los datos entre las distintas bases de datos.
Paso 5
Amazon Quantum Ledger Database (Amazon QLDB) para rastrear y almacenar registros de pruebas. Amazon QLDB garantiza la inmutabilidad de los registros de pruebas y su carácter criptográficamente verificable. El contenido de los registros de pruebas se almacena en Amazon S3 con sus valores hash conservados en Amazon QLDB.
Paso 6
Amazon DynamoDB para almacenar los proveedores de pruebas y sus respectivos esquemas de contenido de pruebas. La función de Lambda que procesa las solicitudes se basa en estos datos para validar el contenido de las pruebas antes de la confirmación en su libro mayor de Amazon QLDB.
Paso 7
Una función de Lambda procesa secuencias para replicar los registros de pruebas en Amazon OpenSearch Service, que ofrece capacidades de consulta avanzadas (búsqueda de texto completo) en toda la estructura de datos de los registros de pruebas.
Paso 8
Amazon Kinesis Data Streams para replicar los registros en OpenSearch Service a fin de ofrecer a los consumidores una mejor experiencia de consulta. Amazon Kinesis proporciona los canales para que la solución replique y archive los registros de pruebas casi en tiempo real.
Paso 9
Amazon Kinesis Data Firehose para archivar registros de pruebas en un bucket de S3.
Paso 10
Amazon CloudWatch y AWS X-Ray para el registro y la supervisión.
Paso 11
AWS Config y AWS Security Hub para publicar los resultados en Amazon EventBridge.
Paso 12
Amazon Simple Queue Service (Amazon SQS) para proporcionar capacidades de limitación de velocidad a AWS Config y al recopilador de pruebas de Security Hub.
Paso 13
Funciones de Lambda de recopilación de pruebas para invocar la Create Evidence API a fin de registrar el resultado. Entre estas se incluyen el recopilador de pruebas de Security Hub y el recopilador de pruebas de S3.
- Fecha de publicación