借助 Amazon Audit Manager,您可以将合规性要求映射到亚马逊云科技使用情况的数据,并在风险和合规评估中持续审计亚马逊云科技使用情况。就在上几个月,Amazon Audit Manager 推出了一个通用控件库,该库使用预定义和预先映射的亚马逊云科技数据来源提供通用控件。
Amazon Audit Manager
扫码了解更多
该通用控件库以亚马逊云科技认证审计师进行的大量映射和审查为基础,以验证是否确定了用于收集证据的适当数据来源。治理、风险与合规 (GRC) 团队在将企业控件映射到 Amazon Audit Manager 进行证据收集时,可以使用该通用控件库来节省时间,从而减少他们对信息技术 (IT) 团队的依赖。
使用该通用控件库,您可以在一个位置查看与同一个通用控件相关的多个框架(例如 PCI 或 HIPAA)的合规性要求,从而更容易同时了解多个框架的审计就绪情况。这样,您就不需要分别实施不同的合规标准要求,然后针对不同的合规制度多次审查生成的数据。
PCI
扫码了解更多
HIPAA
扫码了解更多
合规性
扫码了解更多
左右滑动查看更多
此外,通过使用该库中的控件,您可以在 Amazon Audit Manager 更新或添加新数据来源(例如其他 Amazon CloudTrail 事件、Amazon APIs 调用、Amazon Config 规则)时自动继承改进,或将其他合规性框架映射到通用控件。
这消除了 GRC 和 IT 团队不断更新和管理证据来源所需的工作量,并能更轻松地从 Amazon Audit Manager 添加到其库中的其他合规性框架中获益。
Amazon CloudTrail
扫码了解更多
Amazon Config
扫码了解更多
左右滑动查看更多
让我们通过一个例子来看看这在实践中是如何运作的。
使用 Amazon Audit Manager
通用控件库
某家航空公司一种常见的情况是实施一项政策,规定客户付款(包括机上餐食和互联网接入)只能通过信用卡进行。为了实施这一政策,这家航空公司制定了针对 IT 运营的企业控件,规定“客户交易数据始终可用”。他们如何监控在亚马逊云科技上的应用程序是否符合这一新控件要求呢?
作为他们的合规官,我打开 Amazon Audit Manager 控制台,然后从导航栏中选择控件库。控件库现在包括新的通用类别。每个通用控件都映射到一组核心控件,这些核心控件从亚马逊云科技管理的数据来源收集证据,并可以更轻松地证明符合一系列重叠的法规和标准。我浏览了通用控件库并搜索“可用性”。这里,我意识到该航空公司的预期要求与库中的通用控件高可用性架构相对应。
Amazon Audit Manager
控制台
扫码了解更多
我展开高可用性架构通用控件,以查看底层核心控件。在那里,我注意到这个控件不能充分满足该公司的所有需求,因为 Amazon DynamoDB 不在此列表中。
Amazon DynamoDB 是一个完全托管的数据库,但鉴于 Amazon DynamoDB 在其应用程序架构中的广泛使用,他们肯定希望他们的 Amazon DynamoDB 表在其工作负载增加或减少时可用。如果他们为 Amazon DynamoDB 表配置了固定吞吐量,可能就无法满足此要求。
Amazon DynamoDB
扫码了解更多
我再次浏览通用控件库并搜索“冗余”。我展开容错和冗余通用控件,以查看它如何映射到核心控件。在那里,我看到了为 Amazon DynamoDB 表启用自动扩缩核心控件。该核心控件与这家航空公司实施的架构相关,但并不需要整个通用控件。
此外,通用控件高可用性架构已经包括几个核心控件,用于检查 Amazon Relational Database Service (RDS) 上的多可用区复制是否已启用,但这些核心控件依赖于 Amazon Config 规则。
此规则不适用于此用例,因为该航空公司不使用 Amazon Config。这两个核心控件之一也使用 Amazon CloudTrail 事件,但该事件并不涵盖所有场景。
Amazon RDS
扫码了解更多
多可用区复制
扫码了解更多
Amazon Config
扫码了解更多
左右滑动查看更多
作为合规官,我想收集实际的资源配置。为了收集这些证据,我简单咨询了一位 IT 合作伙伴,并使用客户管理来源创建了自定义控件。我选择 api-rds_describedBinstances API 调用,并设置每周收集频率以优化成本。
自定义控件的实施可以由合规团队处理,无需与 IT 团队的过多互动。如果合规团队必须减少对 IT 的依赖,他们可以实施完整的第二项通用控件(容错和冗余),而不是仅选择与 Amazon DynamoDB 相关的核心控件。根据他们的架构,这可能超出了他们的需求,但对于合规团队和 IT 团队来说,加快速度并减少时间和精力往往比优化现有控件更有益。
我现在在导航窗格中选择框架库并创建一个包含这些控件的自定义框架。然后,我在导航窗格中选择评估,并创建包含自定义框架的评估。在我创建评估后,Amazon Audit Manager 开始收集有关所选亚马逊云科技账户及其亚马逊云科技使用情况的证据。
通过执行这些步骤,合规团队可以采用符合其系统设计和现有亚马逊云科技服务的实施方案,对企业控件“客户交易数据始终可用”进行精确报告。
注意事项
通用控件库现已在提供 Amazon Audit Manager 的所有亚马逊云科技区域中可用。使用通用控件库不会产生额外费用。有关更多信息,请参阅 Amazon Audit Manager 定价。
这项新功能简化了合规和风险评估流程,减少了 GRC 团队的工作量,并简化了他们将企业控件映射到 Amazon Audit Manager 进行证据收集的方式。要了解更多信息,请参阅 Amazon Audit Manager 用户指南。
Amazon Audit Manager
可用区
扫码了解更多
Amazon Audit Manager
定价
扫码了解更多
Amazon Audit Manager
用户指南
扫码了解更多
左右滑动查看更多
本篇作者
Danilo Poccia
常与初创公司和不同规模的公司合作,支持他们的创新。作为亚马逊云科技的首席布道师 (EMEA),他利用自己的经验帮助人们将想法变为现实,专注于无服务器架构、事件驱动编程以及机器学习和边缘计算的技术和商业影响。他是 Manning 出版的《Amazon Lambda in Action》一书的作者。
星标不迷路,开发更极速!
关注后记得星标「亚马逊云开发者」
听说,点完下面4个按钮
就不会碰到bug了!
点击阅读原文查看博客!获得更详细内容!