理解 AWS Audit Manager 概念和术语 - AWS Audit Manager
ACDEFRS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

理解 AWS Audit Manager 概念和术语

为了帮助您入门,本页定义了术语并解释了以下术语的一些关键概念 AWS Audit Manager.

A

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

评测

您可以使用 Audit Manager 评测功能,自动收集与审计相关的证据。

此评测基于一个框架,该框架是一组与您的审计相关的控件。您可以通过标准框架或自定义框架创建评测。标准框架包含支持特定合规标准或法规的预先构建控件。相比之下,自定义框架包含控件,您可以根据自己的特定审计要求对这些控件进行自定义和分组。使用框架作为起点,您可以创建一个评估,以指定 AWS 账户 您要包含在审计范围内的内容。

创建评估时,Audit Manager 会自动开始评估您的评估中的资源 AWS 账户 基于框架中定义的控件。接下来,它会收集相关证据,并将其转换为便于审计师使用的格式。完成此操作后,它会将证据附加至您的评测控件。当需要进行审计时,您(或您选择的委托人)可以查看收集的证据,然后将其添加至评测报告。此评测报告可帮助您证明您的控件是否按预期运行。

证据收集是一个持续的过程,从您创建评测时开始。您可以通过将评测状态更改为非活动,以停止证据收集。或者,您可在控制层停止证据收集。为此,您可以将评测中特定控件的状态更改为非活动

有关如何创建和管理评测的说明,请参阅 在中管理评估 AWS Audit Manager

评测报告

评测报告是通过 Audit Manager 评测生成的最终文档。这些报告汇总了为审计所收集的相关证据。它们链接至相关的证据文件夹。这些文件夹是根据评测中指定的控件命名和组织的。对于每项评测,您可以查看 Audit Manager 收集的证据,并决定要在评测报告中包含的证据。

要了解有关评测报告的更多信息,请参阅评测报告。若要了解如何生成评测报告,请参阅在中准备评估报告 AWS Audit Manager

评测报告目标

评测报告目标是 Audit Manager 保存评测报告的默认 S3 桶。要了解更多信息,请参阅 配置您的默认评估报告目的地

审核

审计是指对贵组织的资产、运营或业务诚信的独立审核。信息技术 (IT) 审计专门检查贵组织信息系统内部的控件。IT 审计旨在确定信息系统是否能保护资产、有效运行和维护数据完整性。所有这些对于满足合规标准或法律规定的监管要求很重要。

审计负责人

根据上下文,审计负责人一词有两种不同的含义。

在 Audit Manager 环境中,审计负责人是管理评测及其相关资源的用户或角色。Audit Manager 角色的职责包括创建评测、审核证据和生成评测报告。Audit Manager 是一项协作服务,当其他利益相关者参与评测,审计负责人将从中受益。例如,您可以将其他审计负责人添加至评测中以共享管理任务。或者,如果您是审计负责人,并且需要帮助解读为控件收集的证据,则可以将控件委托至在此领域有专长的利益相关者。这样的人被称为委托人角色。

从业务角度来看,审计负责人负责协调和监督其公司的审计准备工作,并向审计师提供证据。通常,这是治理、风险和合规 (GRC) 专业人员,例如合规官或GDPR数据保护专员。GRC专业人员拥有管理审计准备工作的专门知识和权力。更具体地说,他们了解合规性要求,可以分析、解释和编制报告数据。但是,其他业务角色也可以扮演审计负责人的 Audit Manager 角色,而不仅仅是GRC专业人员担任这个角色。例如,您可以选择由来自以下团队的技术专家设置和管理 Audit Manager 评测:

  • SecOps

  • IT/ DevOps

  • 安全运营中心/事件响应

  • 拥有、开发、修复和部署云资产、并了解贵组织云基础架构的类似团队

您在 Audit Manager 评测中选择的指定审计负责人,在很大程度上取决于您的组织。这还取决于您的安全运营架构及审计的具体细节。在 Audit Manager 中,同一个人可以在一项评测中客串审计负责人角色,在另一项评测中客串委托人角色。

无论您选择如何使用 Audit Manager,都可以使用审计所有者/受托人角色并向每个用户授予特定IAM策略来管理整个组织的职责分工。通过这种两步方法,Audit Manager 可确保您完全控制个人评测的所有细节。有关更多信息,请参阅 中针对用户角色的推荐策略 AWS Audit Manager

AWS 托管来源

网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 AWS 托管来源是一种证据来源 AWS 为你维护。

每个 AWS 托管源是预定义的数据源分组,可映射到特定的通用控件或核心控件。当你使用通用对照作为证据来源时,你会自动收集支持该通用控制的所有核心控制的证据。您也可以使用单个核心控制作为证据来源。

每当 AWS 托管源已更新,相同的更新将自动应用于使用该源的所有自定义控件 AWS 托管来源。这意味着您的自定义控制措施会根据该证据来源的最新定义收集证据。这可以帮助您确保在云合规性环境变化时持续合规。

另请参阅:customer managed sourceevidence source

C

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

更改日志

对于评估中的每个控件,Audit Manager 都会跟踪该控件的用户活动。然后,您可以审核与特定控件相关活动的审计跟踪记录。有关变更日志中捕获了哪些用户活动的更多信息,请参阅更改日志选项卡

云合规性

云合规性是一般性原则,即云交付的系统必须符合云客户所面临的标准。

常用控制

请参阅 control

合规法规

合规法规是由机构规定的法律、规则或者其他命令,通常用于规范行为。一个例子是GDPR。

合规性标准

合规性标准是一套结构化的指导方针,详细说明了该组织遵守既定法规、规范或立法的流程。示例包括PCIDSS和HIPAA。

控件

控件是为信息系统或组织规定的保障措施或对策。控制措施旨在保护您的信息的机密性、完整性和可用性,并满足一系列已定义的要求。它们可以确保您的资源按预期运行,您的数据可靠,并且您的组织符合适用的法律和法规。

在 Audit Manager 中,控件也可以提出供应商风险评测问卷。在这种情况下,控件一个特定的问题,它询问有关组织安全与合规状况的信息。

当您的 Audit Manager 评测中处于活动状态时,控件会持续收集证据。您还可以手动将证据添加到任何控件中。每份证据都是一份记录,可帮助您证明遵守了控制的要求。

Audit Manager 提供以下类型的控件:

控制类型 描述

常用控制

您可以将常用控制视为一种可以帮助您实现控制目标的操作。由于通用控制措施并不针对任何合规标准,因此它们可以帮助您收集证据,以支持一系列重叠的合规义务。

例如,假设有一个名为 “数据分类和处理” 的控制目标。为了实现这一目标,您可以实施一种名为访问控制的常用控制来监控和检测对您的资源的未经授权的访问。

  • 自动常用控制为您收集证据。它们由一组或多个相关的核心控件组成。反过来,这些核心控制措施中的每一个都会自动从预定义的一组中收集相关证据 AWS 数据源。 AWS 为您管理这些基础数据源,并在法规和标准发生变化以及发现新的数据源时对其进行更新。

  • 手动常用控制要求您上传自己的证据。这是因为他们通常需要提供实物记录或有关在您之外发生的事件的详细信息 AWS 环境。出于这个原因,通常没有 AWS 可以提供证据以支持手动通用控制要求的数据源。

您无法编辑常用控件。但是,在创建自定义控件时,您可以使用任何常用控件作为证据来源。

核心控制

这是您的规范性指南 AWS 环境。您可以将核心控件视为一种可以帮助您满足通用控件要求的操作。

例如,假设您使用名为访问控制的常用控件来监控对资源的未经授权的访问。为了支持这种常用控件,您可以使用名为 “在 S3 存储桶中阻止公共读取权限” 的核心控件。

由于核心控制措施不是针对任何合规标准的,因此它们收集的证据可以支持一系列重叠的合规义务。每个核心控制使用一个或多个数据源来收集有关特定数据的证据 AWS 服务. AWS 为您管理这些基础数据源,并在法规和标准发生变化以及发现新的数据源时对其进行更新。

您无法编辑核心控件。但是,在创建自定义控件时,您可以使用任何核心控件作为证据来源。

标准控制

这是 Audit Manager 提供的预建控件。

您可以使用标准控制来协助您为特定合规性标准做好审计准备。每个标准控制都与 Audit Manager framework 中的特定标准相关,并收集可用于证明符合该框架的证据。标准控制措施从底层数据源收集证据 AWS 管理。每当法规和标准发生变化以及发现新的数据源时,这些数据源都会自动更新。

您无法编辑标准控件。但是,您可以制作任何标准控件的可编辑副本

自定义控件

这是您在 Audit Manager 中创建的控件,用于满足您的特定合规性要求。

您可以从头开始创建自定义控件,也可以制作现有标准控件的可编辑副本。创建自定义控件时,您可以定义特定的控件来确定 evidence source Audit Manager 从哪里收集证据。创建自定义控件后,您可以编辑该控件或将其添加到自定义框架中。您也可以制作任何自定义控件的可编辑副本
控制域

您可以将控制域视为一类不属于任何合规性标准的控件。控制域的一个例子是数据保护

出于简单的组织目的,控件通常按域分组。每个领域都有多个目标。

控件域分组是 Audit Manager 控制面板最强大的功能之一。Audit Manager 会突出显示评测中存在不合规证据的控件,并按控件域对它们进行分组。这使您能够在准备审计时将补救工作重点放在特定主题域。

控制目标

控制目标描述了其下方的常用控件的目标。每个目标可以有多个常用控件。如果这些常用控制措施成功实施,它们将帮助您实现目标。

每个控制目标都属于一个控制域。例如,数据保护控制域可能有一个名为 “数据分类和处理” 的控制目标。为了支持这一控制目标,您可以使用一种名为访问控制的常用控件来监控和检测对您的资源的未经授权的访问。

核心控制

请参阅 control

自定义控件

请参阅 control

客户管理的来源

客户管理的来源是您定义的证据来源。

在 Audit Manager 中创建自定义控件时,可以使用此选项创建自己的单个数据源。这使您可以灵活地从特定于业务的资源(例如自定义)收集自动证据 AWS Config 规则。如果要向自定义控件中添加手动证据,也可以使用此选项。

当您使用客户管理的来源时,您负责维护自己创建的所有数据源。

另请参阅:AWS managed sourceevidence source

D

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

数据来源

Audit Manager 使用数据源收集控制证据。数据源具有以下属性:

  • 数据源类型定义 Audit Manager 从哪种类型的数据源收集证据。

    • 对于自动证据,类型可以是 AWS Security Hub, AWS Config, AWS CloudTrail,或者 AWS API呼叫。

    • 如果您上传自己的证据,则类型为 “手动”。

    • Audi API t Manager 将数据源类型称为sourceType

  • 数据源映射是一个关键字,用于查明从何处收集给定数据源类型的证据。

    • 例如,这可能是 CloudTrail 事件的名称或事件的名称 AWS Config 规则。

    • Audi API t Manager 将数据源映射称为sourceKeyword

  • 数据源名称用于标记数据源类型和映射的配对。

    • 对于标准控件,Audit Manager 提供了默认名称。

    • 对于自定义控件,您可以提供自己的名称。

    • Audi API t Manager 将数据源名称称为sourceName

单个控件可包含多种数据来源类型和多个映射。例如,一个控件可能从混合的数据源类型中收集证据(例如 AWS Config 和 Security Hub)。另一个控件可能有 AWS Config 作为其唯一的数据源类型,有多个 AWS Config 规则作为映射。

下表列出了自动数据来源类型,并显示了一些相应映射的示例。

数据来源类型 描述 映射示例
AWS Security Hub

使用此数据来源类型捕获资源安全状况的快照。

Audit Manager 使用 Security Hub 控件的名称作为映射关键字,并直接通过 Security Hub 报告该安全检查结果。

EC2.1
AWS Config

使用此数据来源类型捕获资源安全状况的快照。

Audit Manager 使用的名称是 AWS Config rule 作为映射关键字,并直接从中报告该规则检查的结果 AWS Config.

SNS_ENCRYPTED_KMS
AWS CloudTrail

使用此数据来源类型,跟踪审计中所需的特定用户活动。

Audit Manager 使用 CloudTrail 事件名称作为映射关键字,并从您的 CloudTrail 日志中收集相关的用户活动。

CreateAccessKey
AWS API呼叫

使用此数据源类型,通过API调用特定数据源来拍摄资源配置的快照 AWS 服务.

Audit Manager 使用API呼叫名称作为映射关键字,并收集API响应。

kms_ListKeys
委托人

委托人是 AWS Audit Manager 权限有限的用户。委托人通常具有专业的业务或技术专长。例如,这些专长可能涉及数据留存政策、培训计划、网络基础设施或身份管理。委托人可以帮助审计负责人审核收集到的证据,以了解属于其专长的控件。委托人可以审核控件集及其相关证据、添加评论、上传其他证据,以及更新各个控件的状态(您分配给它们以供审核)。

审计负责人将特定的控件分配给委托人,而非整个评测。因此,委托人的评测访问权限有限。有关如何委托控件集的说明,请参阅代表团进来 AWS Audit Manager

E

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

证据

证据是一种记录,其中包含遵守控件要求所需的信息。证据示例包括用户调用变更活动和系统配置快照。

Audit Manager 主要包含两类证据:自动证据手动证据

证据类型

描述

自动证据

这是 Audit Manager 自动收集的证据。包含以下三类自动证据:

  1. 合规性检查-合规性检查的结果来自于 AWS Security Hub, AWS Config,或两者兼而有之。

    合规性检查的示例包括来自 Security Hub 的PCIDSS控件安全检查结果,以及 AWS Config HIPAA控件的规则评估。

    有关更多信息,请参阅AWS Config 规则 由... 支持 AWS Audit ManagerAWS Security Hub 支持的控件 AWS Audit Manager

  2. 用户活动-更改资源配置的用户活动将在该活动发生时从 CloudTrail 日志中捕获。

    用户活动的示例包括路由表更新、Amazon RDS 实例备份设置更改和 S3 存储桶加密策略更改。

    有关更多信息,请参阅 AWS CloudTrail 支持的事件名称 AWS Audit Manager

  3. 配置数据-直接从中捕获资源配置的快照 AWS 服务 每天、每周或每月。

    配置快照的示例包括VPC路由表的路由列表、Amazon RDS 实例备份设置和 S3 存储桶加密策略。

    有关更多信息,请参阅 AWS 支持的 API 调用 AWS Audit Manager
手动证据

这是您自己添加到 Audit Manager 的证据。您可通过三种方式添加自己的证据:

  1. 从 Amazon S3 导入文件

  2. 从浏览器上传文件

  3. 输入风险评测问题的文字回答

有关更多信息,请参阅 在中添加手动证据 AWS Audit Manager

自动收集证据从您创建评测开始。这是一个持续的进程,Audit Manager 根据证据类型和基础数据来源,以不同的频率收集证据。有关更多信息,请参阅 了解怎么做 AWS Audit Manager 收集证据

有关如何审核评测证据的说明,请参阅审查证据 AWS Audit Manager

证据来源

证据来源定义了对照从何处收集证据。它可以是单个数据源,也可以是映射到通用控件或核心控件的预定义数据源分组。

创建自定义控件时,可以从中收集证据 AWS 托管来源、客户管理的来源,或两者兼而有之。

提示

我们建议您使用 AWS 托管来源。每当 AWS 托管源已更新,相同的更新将自动应用于使用这些源的所有自定义控件。这意味着您的自定义控制措施始终根据该证据来源的最新定义收集证据。这可以帮助您确保在云合规性环境变化时持续合规。

另请参阅:AWS managed sourcecustomer managed source

证据收集方法

控件可以通过两种方式收集证据。

证据收集方法

描述

自动化

自动控制系统会自动从中收集证据 AWS 数据源。这种自动证据可以帮助您证明完全或部分遵守了控件要求。
手册

手动控制要求您上传自己的证据,以证明遵守了控制措施。
注意

您可以将手动证据附加至任何自动控件中。在许多情况下,需要将自动和手动证据相结合,以证明完全遵守控件。尽管 Audit Manager 可以提供有用且关联的自动证据,但有些自动证据可能只能证明部分合规。在这种情况下,您可以用自己的证据补充 Audit Manager 提供的自动证据。

例如:

  • AWS 生成式 AI 最佳实践框架 v2包含一个名为的控件Error analysis。此控件要求您识别何时在模型使用中检测到不准确之处。它还要求您进行彻底的错误分析,以了解根本原因并采取纠正措施。

  • 为了支持这种控制,Audit Manager 会收集自动证据,显示是否为该控制启用了 CloudWatch警报 AWS 账户 您的评估在哪里进行。您可以使用这些证据证明您的警报和检查配置正确,从而证明部分遵守了控件。

  • 为了证明完全合规,您可以用手动证据补充自动证据。例如,您可以上传显示错误分析流程、上报和报告的阈值、以及根本原因分析结果的策略或程序。您可以使用此手动证据证明既定政策已经到位,并且在出现提示时已采取纠正措施。

有关更详细的示例,请参阅具有混合数据来源的控件

导出目的地

导出目标为默认 S3 桶,Audit Manager 会保存您从证据查找器中导出的文件。有关更多信息,请参阅 为证据查找器配置默认导出目的地

F

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

框架

Audit Manager 框架可以针对特定的标准或风险治理原则构建和自动进行评估。这些框架包括一系列预先构建的或客户定义的控件,它们可以帮助您映射您的 AWS 满足这些控制要求的资源。

Audit Manager 中有两种类型的框架。

框架类型

描述

标准框架

这是一个预先构建的框架,其基础是 AWS 各种合规标准和法规的最佳实践。

您可以使用标准框架来协助为特定的合规性标准或法规(例如PCIDSS或)做好审计准备HIPAA。
自定义框架

这是您作为 Audit Manager 用户定义的自定义框架。

您可以根据自己的具体GRC要求使用自定义框架来协助进行审计准备。

有关如何创建和管理框架的说明,请参阅使用框架库管理中的框架 AWS Audit Manager

注意

AWS Audit Manager 协助收集与核实特定合规标准和法规的遵守情况相关的证据。但是,它本身并不能评测您的合规情况。通过以下方式收集的证据 AWS Audit Manager 因此,可能不包括有关您的所有信息 AWS 审计所需的用法。 AWS Audit Manager 不能代替法律顾问或合规专家。

框架共享

您可以使用该在中共享自定义框架 AWS Audit Manager功能快速共享您的自定义框架 AWS 账户 和区域。若要共享自定义框架,请创建共享请求。然后,收件人有 120 天的时间来接受或拒绝请求。当他们接受时,Audit Manager 会将共享自定义框架复制到其框架库中。除了复制自定义框架外,Audit Manager 还会复制该框架中包含的、所有自定义控件。这些自定义控件已添加至收件人的控件库。Audit Manager 不复制标准框架或控件。这是因为默认情况下,这些资源已可用于每账户和区域。

R

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

资源

资源是在审计过程中评测的有形资产或信息资产。的例子 AWS 资源包括亚马逊EC2实例、亚马逊RDS实例、Amazon S3 存储桶和亚马逊VPC子网。

资源评测

资源评测是评测单个资源的进程。该评测基于控件要求。当评测处于活动状态时,Audit Manager 会对评测范围内的每个资源进行资源评测。资源评测运行以下一系列任务:

  1. 收集证据,包括资源配置、事件日志和调查结果

  2. 转换证据并将其映射至控件

  3. 存储和追踪证据谱系以实现完整性

资源合规性

资源合规性是指在收集合规性检查证据时评测的资源评测状态。

Audit Manager 收集使用以下控制措施的合规性检查证据 AWS Config 以及 Security Hub 作为一种数据源类型。在这个收集证据期间,可能需要评测多种资源。因此,一份合规性检查证据可包含一个或多个资源。

您可以使用证据查找器中的资源合规性筛选条件来浏览资源级别的合规状态。搜索完成后,您可以预览与您的搜索查询匹配的资源。

在证据查找器中,资源合规性包含三个可能得值:

描述

不合规

这是指存在合规性检查问题的资源。

如果 Security Hub 报告资源的失败结果,或者如果 AWS Config 报告不合规的结果。
合规

这是指没有合规性检查问题的资源。

如果 Security Hub 报告了该资源的通过结果,或者如果 AWS Config 报告合结果。
尚无定论

这是指无法进行合规性检查或不适用的资源。

如果发生这种情况 AWS Config 或者 Security Hub 是底层数据源类型,但这些服务未启用。

如果底层数据源类型不支持合规性检查(例如手动证据、 AWS API呼叫,或 CloudTrail)。

S

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

范围内的服务

Audit Manager 管理哪个 AWS 服务 都在你的评估范围之内。如果您有较早的评估,则可能是您过去手动指定了范围内的服务。2024 年 6 月 4 日之后,您无法手动指定或编辑范围内的服务。

范围内的服务是 AWS 服务 你的评估会收集有关证据。当一项服务包含在您的评估范围中时,Audit Manager 会评估该服务的资源。一些资源示例包括下面这些:

  • Amazon EC2 实例

  • 一个 S3 存储桶

  • IAM用户或角色

  • 一个 DynamoDB 表

  • 网络组件,例如 Amazon Virtual Private Cloud (VPC)、安全组或网络访问控制列表 (ACL) 表 () 表

例如,如果 Amazon S3 是范围内的服务,则 Audit Manager 可以收集有关您的 S3 存储桶的证据。收集的确切证据由对照组决定data source。例如,如果数据源类型是 AWS Config,并且数据源映射是 AWS Config 规则(例如s3-bucket-public-write-prohibited),Audit Manager 会收集该规则评估的结果作为证据。

注意

请记住,范围内的服务不同于数据源类型,后者也可以是 AWS 服务 或者其他的东西。有关更多信息,请参阅本指南范围内的服务和数据来源类型有什么区别?的 “故障排除” 部分。

标准控制

请参阅 control