概要
このソリューションは、改ざんから保護された永続的なエビデンスレコードとして、AWS ワークロードを統制するクラウドセキュリティコントロールによって発行されたエビデンスを一元的に保存するメカニズムを提供します。保存されたコントロールのエビデンスは、その後、コンプライアンス評価メカニズム、デプロイに関する意思決定、または監査プロセスで利用できます。
エビデンスレコードは、1 つ以上のターゲットエンティティに関連し、エビデンス提供者によって発行された、システムまたは人間が生成した史実のデジタルレコードです。
注: AWS は、コンプライアンスや規制に関するアドバイスを提供することはありません。お客様は、監査、コンプライアンス、規制上の要件を満たすためなど、お客様のユースケースについての Verifiable Controls Evidence Store の適合性を独自に評価する必要があります。
最新情報
一連の S3 バケットをモニタリングし、新しいオブジェクトがこれらのいずれかのバケットに追加されたときにエビデンスを作成する新しい (オプションの) S3 エビデンスコレクターを追加しました。
詳細については、リビジョンページを参照してください。
メリット
エビデンスをほぼリアルタイムで保存および取得します。エビデンスレコードをクエリして、ソフトウェアリリースがコンプライアンス要件を満たしているかどうかを判断してデプロイに関する意思決定に役立てたり、エビデンスに遡及的にアクセスして個別の監査や調査に役立てたりできます。
さまざまなデータ形式で、AWS、サードパーティープロバーダー、およびカスタム、システム、または人間のエビデンスプロバイダーをオンボーディングします。カスタムスキーマにより、さまざまなエビデンスタイプをサポートできます。アプリケーションリリースやデプロイ環境など、環境について定義されたターゲットエンティティに関連する過去のエビデンスを関連付けます。
ウェブアプリケーションや API を介してインタラクションし、エビデンスを管理したり、エビデンスプロバイダーをオンボーディングしたりします。すべてのアクションとタスクは、両方のインターフェイスでサポートされています。
保存されたエビデンスレコードのデータの完全性を検証します。このソリューションは、Amazon Quantum Ledger Database (QLDB) を使用して不変性を確保し、エビデンスの暗号化検証を可能にします。
技術的な詳細情報
このアーキテクチャは、実装ガイドを使用して自動的にデプロイできます。
ステップ 1
AWS Cloud Development Kit (CDK) コードは、オプションの UI を提供するために Amazon CloudFront ディストリビューションをデプロイします。CloudFront は、低レイテンシー、高パフォーマンス、安全な静的ウェブホスティングを提供します。Amazon Simple Storage Service (Amazon S3) ウェブ UI バケットは、静的ウェブアプリケーションアーティファクトをホストします。
ステップ 2
大規模な設定なしでソリューションの機能を使用するための迅速で便利な認証メカニズムをお客様に提供するための Amazon Cognito ユーザープール。
ステップ 3
一連の RESTful API を公開するための Amazon API Gateway。API Gateway は、Evidence Store コンシューマーによって発行された HTTP リクエストを処理します。AWS Identity and Access Management (IAM) とその API 使用計画に対してリクエストの認証情報 (署名と API キー) を検証することにより、認証と承認のワークフローをオーケストレートします。
ステップ 4
API Gateway からの検証済みリクエストを処理するためのエビデンスストア AWS Lambda 関数。この Lambda 関数は、ソリューションのビジネスロジックをカプセル化して、API Gateway を介してユーザーから REST リクエストを受信し、それらを検証し、さまざまなデータベースとの間でデータの保存と取得を行います。
ステップ 5
エビデンスレコードを追跡および保存するための Amazon Quantum Ledger Database (Amazon QLDB)。Amazon QLDB は、エビデンスレコードの不変性と暗号的に検証可能な性質を確保します。エビデンスレコードのコンテンツは Amazon S3 に保存され、ハッシュ値は Amazon QLDB に保持されます。
ステップ 6
エビデンスプロバイダーとそれぞれのエビデンスコンテンツスキーマを保存するための Amazon DynamoDB。リクエスト処理 Lambda 関数は、Amazon QLDB 台帳にコミットする前に、このデータに基づいてエビデンスコンテンツを検証します。
ステップ 7
エビデンスレコードを Amazon OpenSearch Service にレプリケートするためのストリーム処理 Lambda 関数。これにより、エビデンスレコードのデータ構造全体にわたる高度なクエリ機能 (全文検索) が可能になります。
ステップ 8
レコードを OpenSearch Service にレプリケートして、コンシューマーのクエリエクスペリエンスを向上させるための Amazon Kinesis Data Streams。Amazon Kinesis は、エビデンスレコードをほぼリアルタイムでレプリケートおよびアーカイブするためにソリューション用のチャネルを提供します。
ステップ 9
エビデンスレコードを S3 バケットにアーカイブするための Amazon Kinesis Data Firehose。
ステップ 10
ログ記録とモニタリングのための Amazon CloudWatch と AWS X-Ray。
ステップ 11
検出結果を Amazon EventBridge に公開するための AWS Config と AWS Security Hub。
ステップ 12
AWS Config と Security Hub Evidence Collector にレート制限機能を提供するための Amazon Simple Queue Service (Amazon SQS)。
ステップ 13
検出結果を記録するために Create Evidence API を呼び出すエビデンスコレクター Lambda 関数。これらには、Security Hub エビデンスコレクターと S3 エビデンスコレクターが含まれます。
ステップ 1
AWS Cloud Development Kit (CDK) コードは、オプションの UI を提供するために Amazon CloudFront ディストリビューションをデプロイします。CloudFront は、低レイテンシー、高パフォーマンス、安全な静的ウェブホスティングを提供します。Amazon Simple Storage Service (Amazon S3) ウェブ UI バケットは、静的ウェブアプリケーションアーティファクトをホストします。
ステップ 2
大規模な設定なしでソリューションの機能を使用するための迅速で便利な認証メカニズムをお客様に提供するための Amazon Cognito ユーザープール。
ステップ 3
一連の RESTful API を公開するための Amazon API Gateway。API Gateway は、Evidence Store コンシューマーによって発行された HTTP リクエストを処理します。AWS Identity and Access Management (IAM) とその API 使用計画に対してリクエストの認証情報 (署名と API キー) を検証することにより、認証と承認のワークフローをオーケストレートします。
ステップ 4
API Gateway からの検証済みリクエストを処理するためのエビデンスストア AWS Lambda 関数。この Lambda 関数は、ソリューションのビジネスロジックをカプセル化して、API Gateway を介してユーザーから REST リクエストを受信し、それらを検証し、さまざまなデータベースとの間でデータの保存と取得を行います。
ステップ 5
エビデンスレコードを追跡および保存するための Amazon Quantum Ledger Database (Amazon QLDB)。Amazon QLDB は、エビデンスレコードの不変性と暗号的に検証可能な性質を確保します。エビデンスレコードのコンテンツは Amazon S3 に保存され、ハッシュ値は Amazon QLDB に保持されます。
ステップ 6
エビデンスプロバイダーとそれぞれのエビデンスコンテンツスキーマを保存するための Amazon DynamoDB。リクエスト処理 Lambda 関数は、Amazon QLDB 台帳にコミットする前に、このデータに基づいてエビデンスコンテンツを検証します。
ステップ 7
エビデンスレコードを Amazon OpenSearch Service にレプリケートするためのストリーム処理 Lambda 関数。これにより、エビデンスレコードのデータ構造全体にわたる高度なクエリ機能 (全文検索) が可能になります。
ステップ 8
レコードを OpenSearch Service にレプリケートして、コンシューマーのクエリエクスペリエンスを向上させるための Amazon Kinesis Data Streams。Amazon Kinesis は、エビデンスレコードをほぼリアルタイムでレプリケートおよびアーカイブするためにソリューション用のチャネルを提供します。
ステップ 9
エビデンスレコードを S3 バケットにアーカイブするための Amazon Kinesis Data Firehose。
ステップ 10
ログ記録とモニタリングのための Amazon CloudWatch と AWS X-Ray。
ステップ 11
検出結果を Amazon EventBridge に公開するための AWS Config と AWS Security Hub。
ステップ 12
AWS Config と Security Hub Evidence Collector にレート制限機能を提供するための Amazon Simple Queue Service (Amazon SQS)。
ステップ 13
検出結果を記録するために Create Evidence API を呼び出すエビデンスコレクター Lambda 関数。これらには、Security Hub エビデンスコレクターと S3 エビデンスコレクターが含まれます。