Présentation
Cette solution offre un mécanisme pour enregistrer de manière centralisée les preuves produites par les contrôles de sécurité dans le cloud régissant les charges de travail AWS, sous forme de registres de preuves persistents et protégés de toute manipulation. La preuve des contrôles enregistrés peut ensuite être utilisée dans les mécanismes d'évaluation de la conformité, les décisions de déploiement, ou les processus d'audit.
Un registre de preuve est un registre numérique généré par un système ou un être humain concernant un fait historique, lié à une ou plusieurs entités cibles, et produit par un fournisseur de preuve.
Remarque : AWS ne fournit pas de conseils en matière de conformité ou de réglementation. Vous devez évaluer indépendamment la compatibilité du stockage des preuves de contrôles vérifiables pour votre cas d'utilisation, notamment pour le respect des exigences d'audit, de conformité et réglementaires que vous pourriez avoir.
Nouveautés
Ajout d'un nouveau collecteur de preuves S3 (facultatif) pour surveiller un ensemble de compartiments S3 et créer des preuves lorsque de nouveaux objets sont placés dans l'un de ces compartiments.
Pour en savoir plus, consultez la page Révisions.
Avantages
Enregistrement et récupération des preuves en temps réel. Questionnement des registres de preuve pour déterminer si les versions logicielles satisfont aux exigences de conformité pour aider aux décisions de déploiement, ou accéder aux preuves de manière rétrospective pour aider dans des audits ou des enquêtes ad hoc.
Intégration d'AWS, des fournisseurs tiers, ainsi que des fournisseurs de preuves personnalisées, basées sur des systèmes ou humains, avec différents formats de données. Les schémas personnalisés offrent un soutien pour divers types de preuve. Corrélation de preuves historiques liées aux entités cibles définies pour votre environnement, telles que les versions d’application ou les environnements de déploiement.
Interaction par l'intermédiaire d'une application Web et/ou d'API pour gérer les preuves et intégrer les fournisseurs de preuves. Toutes les actions et les tâches sont supportées par les deux interfaces.
Vérification de l’intégrité des données des registres de preuves enregistrés. La solution utilise Amazon Quantum Ledger Database (QLDB) pour assurer l'immutabilité et permettre la vérification cryptographique des preuves.
Détails techniques
Vous pouvez déployer automatiquement cette architecture à l'aide du guide d'implémentation.
Étape 1
Le code AWS Cloud Development Kit (CDK) déploie une distribution Amazon CloudFront au service de l'interface d'utilisation en option. CloudFront offre une latence réduite, des performances élevées, et un hébergement Web statique sécurisé. Un compartiment interface utilisateur Web Amazon Simple Storage Service (Amazon S3) héberge les artefacts de l'application Web statique.
Étape 2
Un groupe d'utilisateurs Amazon Cognito fournit aux clients un mécanisme rapide et pratique d'authentification pour explorer les fonctionnalités de la solution sans configuration étendue.
Étape 3
Amazon API Gateway pour exposer un ensemble d'API RESTful. La passerelle API traite les demandes HTTP émises par les consommateurs du stockage de preuves. Elle orchestre les flux de travail d'authentification et d'autorisation en validant les informations d'identification (signature et clé API) de la demande par rapport à AWS Identity and Access Management (IAM) d'AWS et son plan d'utilisation.
Étape 4
Une fonction AWS Lambda de stockage de preuves pour traiter les demandes validées de la passerelle API. Cette fonction Lambda encapsule la logique commerciale de la solution, recevant les demandes de repos de l'utilisateur par la passerelle API, les validant et les enregistrant, et récupérant les données dans/depuis les diverses bases de données.
Étape 5
Amazon Quantum Ledger Database (Amazon QLDB) pour suivre et stocker les registres de preuves. Amazon QLDB assure l'immutabilité et la nature vérifiable par cryptographie des registres de preuves. Le contenu des registres de preuves est stocké dans Amazon S3 avec ses valeurs de hachage conservées dans Amazon QLDB.
Étape 6
Amazon DynamoDB pour stocker les fournisseurs de preuves et leurs plans respectifs de contenu de preuve. La fonction Lambda de traitement des demandes compte sur ces données pour valider le contenu de la preuve avant de le confier à son registre Amazon QLDB .
Étape 7
Une fonction Lambda de traitement de flux pour répliquer les registres de preuve dans Amazon OpenSearch Service, qui offre des capacités avancées de requête (recherche en texte intégral) dans l'ensemble de la structure des données du registre de preuve.
Étape 8
Amazon Kinesis Data Streams pour répliquer les registres dans OpenSearch Service pour offrir aux consommateurs une meilleure expérience de requête. Amazon Kinesis fournit les canaux dont la solution a besoin pour répliquer et archiver les registres de preuve quasiment en temps réel.
Étape 9
Amazon Kinesis Data Firehose pour archiver les registres de preuve dans un compartiment S3.
Étape 10
Amazon CloudWatch et AWS X-Ray pour la journalisation et le suivi.
Étape 11
AWS Config et AWS Security Hub pour publier les résultats dans Amazon EventBridge.
Étape 12
Amazon Simple Queue Service (Amazon SQS) pour offrir des capacités de limitation de débit à AWS Config et au collecteur de preuves Security Hub.
Étape 13
Des fonctions Lambda de collecteur de preuves pour invoquer l'API de création de preuve et enregistrer le résultat. Il s'agit notamment du collecteur de preuves Security Hub et du collecteur de preuves S3.
Étape 1
Le code AWS Cloud Development Kit (CDK) déploie une distribution Amazon CloudFront au service de l'interface d'utilisation en option. CloudFront offre une latence réduite, des performances élevées, et un hébergement Web statique sécurisé. Un compartiment interface utilisateur Web Amazon Simple Storage Service (Amazon S3) héberge les artefacts de l'application Web statique.
Étape 2
Un groupe d'utilisateurs Amazon Cognito fournit aux clients un mécanisme rapide et pratique d'authentification pour explorer les fonctionnalités de la solution sans configuration étendue.
Étape 3
Amazon API Gateway pour exposer un ensemble d'API RESTful. La passerelle API traite les demandes HTTP émises par les consommateurs du stockage de preuves. Elle orchestre les flux de travail d'authentification et d'autorisation en validant les informations d'identification (signature et clé API) de la demande par rapport à AWS Identity and Access Management (IAM) d'AWS et son plan d'utilisation.
Étape 4
Une fonction AWS Lambda de stockage de preuves pour traiter les demandes validées de la passerelle API. Cette fonction Lambda encapsule la logique commerciale de la solution, recevant les demandes de repos de l'utilisateur par la passerelle API, les validant et les enregistrant, et récupérant les données dans/depuis les diverses bases de données.
Étape 5
Amazon Quantum Ledger Database (Amazon QLDB) pour suivre et stocker les registres de preuves. Amazon QLDB assure l'immutabilité et la nature vérifiable par cryptographie des registres de preuves. Le contenu des registres de preuves est stocké dans Amazon S3 avec ses valeurs de hachage conservées dans Amazon QLDB.
Étape 6
Amazon DynamoDB pour stocker les fournisseurs de preuves et leurs plans respectifs de contenu de preuve. La fonction Lambda de traitement des demandes compte sur ces données pour valider le contenu de la preuve avant de le confier à son registre Amazon QLDB .
Étape 7
Une fonction Lambda de traitement de flux pour répliquer les registres de preuve dans Amazon OpenSearch Service, qui offre des capacités avancées de requête (recherche en texte intégral) dans l'ensemble de la structure des données du registre de preuve.
Étape 8
Amazon Kinesis Data Streams pour répliquer les registres dans OpenSearch Service pour offrir aux consommateurs une meilleure expérience de requête. Amazon Kinesis fournit les canaux dont la solution a besoin pour répliquer et archiver les registres de preuve quasiment en temps réel.
Étape 9
Amazon Kinesis Data Firehose pour archiver les registres de preuve dans un compartiment S3.
Étape 10
Amazon CloudWatch et AWS X-Ray pour la journalisation et le suivi.
Étape 11
AWS Config et AWS Security Hub pour publier les résultats dans Amazon EventBridge.
Étape 12
Amazon Simple Queue Service (Amazon SQS) pour offrir des capacités de limitation de débit à AWS Config et au collecteur de preuves Security Hub.
Étape 13
Des fonctions Lambda de collecteur de preuves pour invoquer l'API de création de preuve et enregistrer le résultat. Il s'agit notamment du collecteur de preuves Security Hub et du collecteur de preuves S3.
- Date de publication