首页 » 亚马逊云科技解决方案 » 安全与合规 » 合规要求扫描解决方案指南
合规要求扫描解决方案指南
此亚马逊云科技解决方案有何用途 ?
本方案通过将相关合规要求(如加密、审计、网络)转译成为预定义且可执行的扫描规则,用于支持扫描和检测客户部署在亚马逊云科技的系统和资源的配置是否满足这些扫描规则,为客户判断这些配置是否符合相关合规要求提供参考依据。扫描和检测只针对配置,并不针对客户内容。本方案提供 16 种供客户开箱即用的预建扫描规则,分别针对不同行业的相关安全合规框架所设置(如医疗行业的 HIPPA / GxP / 金融行业的 PCI - DSS / 通用的 GDPR ,相关的扫描规则可参考方案内“合规框架说明文件(.readme)”),支持周期性自动检测,帮助客户在业务系统迭代过程中能及时预警,从而避免人为因素导致的违规风险。检测报告及警告信息自动存储在 Amazon Security Hub 中供客户查阅详情及修复建议。本方案支持在亚马逊云科技中国区域账号部署,对于现有框架不能满足客户需求的情况,客户可以进行自定义规则以定制化需求。
应对的需求
面向的业务需求
- 对于业务系统的迭代升级需要持续检测与定期评估来保证相关系统架构依然满足相关合规要求。
- 企业可以根据安全的最佳实践或组织定义的安全运维规章制度进行,但这种方法需要用户手工开发并部署。
- 企业不仅需要考虑 IT 系统的安全,同时也需要遵从所在行业安全合规框架。
面向的技术需求
- 系统应该周期性的自动运行,而不需要人工的启动和干预。
- 为了更加安全,扫描检查测试需要是白盒测试,不能是黑盒规则,即需要了解测试扫描的内容以及相关标准。
- 检查项规则必须是可配置,可扩展。
- 发现不符合检查规则的资源 (如网络、权控漏洞),应该及时告警并发送详细信息到 Amazon Security Hub。
- 提示相关信息应该使用中文。
- 从节约客户成本的角度出发,使用无服务器架构,以最少的成本完成周期性检测。
方案优势
开箱即用的预建扫描规则
提供了预定义的 16 种预建扫描规则,分别针对以下通用及行业合规框架下的相关要求设置:ISO27001, SOC 1, SOC 2, SOC 3; GDPR, HIPAA; CIS (Center for internet Security) , FFIEC, PCI-DSS。
可快速与第三方系统集成
本方案的扫描检查结果符合 Amazon Security Finding 格式 (ASFF),便于第三方系统集成。
易于扩展
本方案所有的检查规则全开源,所有的检查规则于 Shell 脚本开发,便于扩展。
Serverless 架构
面向 Serverless 架构,使用 Amazon Fargate 及 Lambda,无需 EC2 实例。
解决方案架构及说明
以下架构图展示了整个方案的部署架构。
持续合规解决方案
- 将基于针对相关合规要求(如 GDPR、PCI-DSS 等)的 16 种预建扫描规则构建出 Docker ;
- 在 Amazon ECS 中根据针对相应合规要求(如 GDPR、PCI-DSS 等)的预建扫描规则定义不同的 Task;
- 定义 Amazon CloudWatch 周期性触发事件,在 Amazon ECS 中使用 Amazon Fargate 资源启动 Task;
- Amazon ECS Task 根据客户选定的预建扫描规则针对客户在亚马逊云科技的资源配置(不涉及客户内容)进行逐一检查;
- Amazon ECS Task 将检查结果存储到 DynamoDB 表中;
- 记录放入 Amazon DynamoDB 表中;
- Amazon DynamoDB Steam 中的每一条记录触发 Amazon Lambda 函数。 该 Lambda 函数将检查结果存储到 Amazon Security Hub 中;
- Amazon Security Hub 存储并展示不同的预建扫描规则检查结果,并以中英文双语显示;
- Amazon ECS Task 将检查结果 (CSV 和 JSON 格式) 存储到 Amazon S3 存储桶中。
