AWS Audit Manager는 AWS 사용량을 지속적으로 감사하여 위험과 규정 및 산업 표준의 준수를 평가하는 방법을 간소화하는 데 도움이 됩니다. Audit Manager를 사용하면 제어라고도 하는 정책, 절차 및 활동이 효과적으로 작동하는지 쉽게 평가할 수 있습니다. Audit Manager는 공통 산업 표준 및 규정에 매핑된 제어, 프레임워크 및 제어의 전체 사용자 지정, 각 제어 요구 사항에 정의된 대로 AWS의 사용에서 증거의 자동 수집 및 구성을 포함하는 사전 구축된 프레임워크를 제공합니다. 감사 시간이 되면 AWS Audit Manager를 통해 통제 항목에 대한 이해관계자의 검토를 관리함으로써 수동 작업을 대폭 줄이면서 감사 준비 보고서를 작성할 수 있습니다.
사전 구축된 프레임워크
AWS Audit Manager는 다양한 규정 준수 표준의 범위를 포괄하는 사전 구축된 프레임워크를 제공하며 AWS 모범 사례를 염두에두고 개발되었습니다. 이러한 프레임워크는 AWS 리소스를 산업 표준 및 규정 요구 사항에 매핑하는 데 도움이 됩니다. AWS Audit Manager의 사전 구축된 프레임워크의 예로는 AWS Control Tower, AWS License Manager, CIS AWS Foundations Benchmark 1.2.0 및 1.3.0, CIS Controls v7.1 Implementation Group 1, FedRAMP Moderate, 일반 데이터 보호 규정(GDPR), GxP 21 CFR 제11부, 건강보험의 양도 및 책임에 관한 법률(HIPAA), 지불 카드 보안 표준(PCI DSS) v3.2.1, Service Organization Control 2(SOC 2) 및 NIST 800-53(Rev 5) 등이 있습니다. 또한 AWS Audit Manager는 Amazon Bedrock에서의 생성형 AI 구현이 AWS 권장 모범 사례에 어떻게 부합하는지 파악할 수 있도록 사전 구축된 프레임워크를 제공합니다. AWS Audit Manager 설명서에서 지원되는 프레임워크의 전체 목록을 참조하세요.
사용자 지정 프레임워크 및 제어
AWS Audit Manager를 사용하면 감사 요구 사항을 충족하는 데 도움이 되는 사용자 지정 제어 또는 AWS 관리형 제어를 사용하여 자체 프레임워크를 구축할 수 있습니다. Audit Manager 프레임워크를 사용자 지정하면 특정 비즈니스 요구 사항을 준수하기 위해 기존 프레임워크의 제어를 평가하는 데 도움이 됩니다. 내부 감사 및 규정 준수 요구 사항을 충족하고 있음을 보여주기 위해 특정 데이터 원본에서 증거를 수집하는 사용자 지정 제어를 정의할 수 있습니다. 각 증거는 제어에서 지정한 요구 사항의 준수를 입증하는 데 필요한 정보가 포함된 레코드가 됩니다.
자동화된 증거 수집
평가가 정의되고 시작되면 AWS Audit Manager는 감사 범위에 포함되도록 정의한 AWS 계정 및 서비스에 대한 데이터를 자동으로 수집합니다. 증거에는 해당 리소스에서 캡처한 데이터와 보안, 변경 관리, 비즈니스 연속성 및 소프트웨어 라이선스 준수를 입증하는 데 도움이 되는 데이터가 지원하는 제어를 나타내는 메타데이터가 모두 포함됩니다. Audit Manager는 AWS CloudTrail 및 AWS Config, AWS Security Hub 및 AWS License Manager와 같이 사용 중인 기타 AWS 서비스에서 증거를 수집하고 구성합니다. 정책 문서, 교육 기록 및 아키텍처 다이어그램과 같은 다른 증거를 수동으로 업로드하여 체계적으로 조직할 수도 있습니다.
다중 계정 증거 수집
AWS Audit Manager는 AWS Organizations와의 통합을 통해 여러 계정을 지원합니다. Audit Manager 평가는 여러 계정에서 실행될 수 있으며 증거를 수집하여 AWS Organizations의 위임된 관리자 계정으로 통합합니다.
위임 워크플로
네트워크 인프라, ID 관리, 소프트웨어 라이센싱 또는 개인 정책과 같은 특정 주제 영역에 전문화 된 팀 구성원에게 제어 세트를 위임할 수 있습니다. 위임 기능을 사용하면 지원 팀 구성원이 제어 세트 및 관련 증거를 검토하고, 설명을 추가하고, 추가 증거를 업로드하고, 각 제어의 상태를 업데이트할 수 있습니다.
증거 검색
Audit Manager를 사용하여 검색 필터 및 그룹화로 추세 및 교차 참조 문제를 식별하여 여러 서로 다른 소스에서 수집된 수천 개의 증거를 보다 쉽게 선별할 수 있습니다. 이는 평가(특정 제어 세트에 대한 자동화된 데이터 수집 프로세스) 또는 Audit Manager 대시보드에서 서비스의 플래그가 지정된 규정 준수 검사를 통해 식별된 문제를 심증 분석하는 데 도움을 줍니다. 증거 검색을 시작하려면 Audit Manager 콘솔의 왼쪽 탐색 메뉴로 이동하여 '증거 찾기(Evidence Finder)' 페이지를 선택하고 검색할 평가 및 시간 범위를 선택한 다음 검색에 사용할 파라미터 및 필터를 선택합니다. 이 기능을 활성화하면 Audit Manager 증거가 AWS CloudTrail Lake로 수집 및 저장됩니다. CloudTrail Lake 요금이 적용됩니다.
감사 준비 보고서
AWS Audit Manager는 선택한 프레임워크의 제어 세트에 정의된 대로 증거 수집을 자동화하고 증거를 구성합니다. 귀하와 귀하의 팀은 증거를 검토하고, 증거에 주석을 달고, 다른 지원 증거를 업로드하고, 각 제어의 상태를 업데이트할 수 있습니다. 그런 다음 평가 보고서에 포함할 관련 증거를 선택하고 감사자와 공유할 최종 평가 보고서를 생성합니다. 최종 평가 보고서에는 평가에 대한 요약 파일이 포함되어 있으며 각 프레임워크의 제어 세트에 정의된 대로 이름이 지정되고 구성되는 관련 증거를 포함하는 구성된 폴더 세트에 대한 링크를 제공합니다. Audit Manager 평가 보고서는 암호화 확인을 사용하여 평가 보고서의 무결성을 보장합니다.
서드 파티 위험 평가
AWS Audit Manager는 서드 파티 위험 평가의 수동 작업을 줄여주는 기능을 제공합니다. 한 가지 예는 조직의 규정 준수 요구 사항에 따라 사용자 지정 프레임워크를 공급업체와 공유할 수 있는 프레임워크 공유 기능입니다. 공급업체는 이러한 사용자 지정 프레임워크에 액세스하고 이를 사용하여 평가를 생성할 수 있습니다. Audit Manager에서 평가는 감사 범위 내의 규제 항목에 대한 증거를 수집하는 데 사용됩니다. 공급업체는 공유 프레임워크를 시작점으로 사용하여 해당 프레임워크의 제어에 대한 증거를 수집하는 평가를 생성할 수 있습니다.
또한 공급업체 위험 평가 질문을 만들고 공급업체 및 파트너와 공유하여 텍스트 응답 또는 문서 형태의 감사 증거를 수집할 수 있습니다. 서드 파티 측에서는 응답과 함께 업로드된 파일 및 수집된 자동 증거를 평가 보고서로 패키징하여 귀사와 다시 공유할 수 있습니다.
공급업체도 AWS 계정에서 수집된 모든 자동 증거를 증거 검색기에서 CSV 파일로 내보낼 수 있으므로 널리 지원되는 형식으로 증거를 귀사와 더 쉽게 공유할 수 있습니다.
