首页 » 亚马逊云科技解决方案 » 安全与合规 » 持续合规解决方案
持续合规解决方案
此亚马逊云科技解决方案有何用途 ?
本方案通过将相关合规要求转译成为预定义且可执行的扫描规则,用于支持扫描和检测客户部署在亚马逊云的系统和云资源的配置是否满足相关法律法规的要求,如加密、审计、网络等,并不涉及到客户数据的访问。本方案提供 16 种供客户开箱即用行业安全合规框架(如医疗行业的 HIPPA/GxP,金融行业的 PCI-DSS,通用的 GDPR 等),支持周期性自动检测,以保证在客户业务系统迭代过程中能及时预警并修复,防止人为引入违规风险。检测报告及警告信息自动存储在 Amazon Security Hub 中供客户查阅详情及修复建议。本方案支持在亚马逊云科技海外及国内账号部署,且支持客户进行自定义开发已满足定制化需求。
应对的需求
面向的业务需求
2. 虽然亚马逊云科技已经提供相关服务可以协助用户进行针对亚马逊云上资源进行对应不同合规项的检查,例如 亚马逊云科技 config 服务。但是有些规则是预先定义好的,无法在此基础上进行修改或者扩展。
3. 企业可以根据安全的最佳实践或组织定义的安全运维规章制度进行,但这种方法需要用户手工开发并部署。
4. 组织不仅需要考虑 IT 系统的安全,同时也需要遵从所在行业安全合规框架。
面向的技术需求
2. 为了更加安全,针对行业内合规扫描检查项必须是开源,不能是黑盒规则。
3. 检查项规则必须是可配置,可扩展。
4. 发现不符合检查项的资源 (如网络、权控漏洞),应该及时告警并发送详细信息到 Security Hub。
5. 提示相关信息应该使用中文。
6. 从节约客户成本的角度出发,使用无服务器架构,以最少的成本完成周期性检测。
方案优势
开箱即用的通用及行业合规框架
可快速与第三方系统集成
易于扩展
Serverless 架构
解决方案架构及说明
以下架构图展示了整个方案的部署架构。(单击可放大)
图示说明:
1. 将基于 16 种安全合规框架(如 GDPR、PCI-DSS 等)的预定义检查项构建出 Docker Image
2. 在 Amazon ECS 中不同的根据合规框架(如 GDPR、PCI-DSS 等定义不同的 Task
3. 定义 Amazon CloudWatch 周期性触发事件,在 ECS 中使用 Fargate 资源启动 Task
4. Amazon ECS Task 根据不同合规框架定义的规则针对亚马逊云科技的资源进行逐一检查 (配置项,不涉及数据)
5. Amazon ECS Task 将检查结果存储到 DynamoDB 表中
6. 记录放入 Amazon DynamoDB 表中
7. Amazon DynamoDB Steam 中的每一条记录触发 Amazon Lambda 函数。 该 Lambda 函数将检查结果存储到 Amazon Security Hub 中
8. Amazon Security Hub 存储并展示不同的合规框架检查结果,并以中英文双语显示
9. Amazon ECS Task 将检查结果 (CSV 和 JSON 格式) 存储到 Amazon S3 存储桶中
