Editor Top
|
|
Con AWS Audit Manager, puede asignar sus requisitos de cumplimiento a los datos de uso de AWS y auditar continuamente su uso de AWS como parte de su evaluación de riesgos y cumplimiento. Hoy, Audit Manager presenta una biblioteca de control común que proporciona controles comunes con fuentes de datos de AWS predefinidas y preasignadas.
La biblioteca de control común se basa en un mapeo extenso y revisiones realizadas por auditores certificados de AWS, verificando que se identifiquen las fuentes de datos apropiadas para la recopilación de evidencia. Los equipos de Gobernanza, Riesgo y Cumplimiento (GRC) pueden utilizar la biblioteca de control común para ahorrar tiempo al asignar controles empresariales a Audit Manager para la recopilación de evidencia, reduciendo su dependencia de los equipos de tecnología de la información (TI).
Al utilizar la biblioteca de control común, puede ver los requisitos de cumplimiento para múltiples marcos (como PCI o HIPAA) asociados con el mismo control común en un solo lugar, lo que facilita la comprensión de su preparación para la auditoría en múltiples marcos simultáneamente. De esta manera, no es necesario implementar diferentes requisitos de estándares de cumplimiento individualmente y luego revisar los datos resultantes varias veces para diferentes regímenes de cumplimiento.
Además, al utilizar controles de esta biblioteca, hereda automáticamente mejoras a medida que Audit Manager actualiza o agrega nuevas fuentes de datos, como eventos adicionales de AWS CloudTrail, llamadas API de AWS, reglas de AWS Config o asigna marcos de cumplimiento adicionales a controles comunes. Esto elimina los esfuerzos requeridos por GRC y los equipos de TI para actualizar y administrar constantemente las fuentes de evidencia y facilita el beneficio de los marcos de cumplimiento adicionales que Audit Manager agrega a su biblioteca.
Veamos cómo funciona esto en la práctica con un ejemplo.
Uso de la biblioteca de control común de AWS Audit Manager
Un escenario común para una aerolínea es implementar una política para que los pagos de sus clientes, incluidas las comidas a bordo y el acceso a Internet, solo puedan realizarse mediante tarjeta de crédito. Para implementar esta política, la aerolínea desarrolla un control empresarial para las operaciones de TI que dice que «los datos de las transacciones de los clientes siempre están disponibles». ¿Cómo pueden monitorear si sus aplicaciones en AWS cumplen con este nuevo control?
Actuando como su oficial de cumplimiento, abro la consola de Audit Manager y selecciono Biblioteca de controles desde la barra de navegación. La biblioteca de control ahora incluye el nuevo Común categoría. Cada control común se asigna a un grupo de controles principales que recopilan evidencia de fuentes de datos administradas por AWS y facilitan la demostración del cumplimiento de una variedad de regulaciones y estándares superpuestos. Busco en la biblioteca de control común y busco «disponibilidad». Aquí, me doy cuenta de que los requisitos esperados de la aerolínea se corresponden con el control común. Arquitectura de alta disponibilidad en la biblioteca.
amplío el Arquitectura de alta disponibilidad control común para ver los controles centrales subyacentes. Allí noto que este control no satisface adecuadamente todas las necesidades de la empresa porque Amazon DynamoDB no está en esta lista. DynamoDB es una base de datos totalmente administrada, pero dado el uso extensivo de DynamoDB en la arquitectura de su aplicación, definitivamente quieren que sus tablas de DynamoDB estén disponibles cuando su carga de trabajo crezca o se reduzca. Es posible que este no sea el caso si configuraron un rendimiento fijo para una tabla de DynamoDB.
Vuelvo a mirar la biblioteca de control común y busco «redundancia». amplío el Tolerancia a fallos y redundancia control común para ver cómo se asigna a los controles principales. Allí veo el Habilite Auto Scaling para tablas de Amazon DynamoDB control central. Este control central es relevante para la arquitectura que la aerolínea ha implementado, pero no es necesario todo el control común.
Además, el control común Arquitectura de alta disponibilidad ya incluye un par de controles principales que verifican que la replicación Multi-AZ en Amazon Relational Database Service (RDS) esté habilitada, pero estos controles principales se basan en una regla de AWS Config. Esta regla no funciona para este caso de uso porque la aerolínea no utiliza AWS Config. Uno de estos dos controles principales también utiliza un evento de CloudTrail, pero ese evento no cubre todos los escenarios.
Como responsable de cumplimiento, me gustaría recopilar la configuración de recursos real. Para recopilar esta evidencia, consulto brevemente con un socio de TI y creo un control personalizado utilizando un Fuente administrada por el cliente. selecciono el api-rds_describedbinstances Llama a API y establece una frecuencia de cobro semanal para optimizar costos.
La implementación del control personalizado puede ser manejada por el equipo de cumplimiento con una interacción mínima necesaria por parte del equipo de TI. Si el equipo de cumplimiento tiene que reducir su dependencia de TI, puede implementar todo el segundo control común (Tolerancia a fallos y redundancia) en lugar de seleccionar solo el control principal relacionado con DynamoDB. Puede que sea más de lo que necesitan según su arquitectura, pero la aceleración de la velocidad y la reducción de tiempo y esfuerzo tanto para los equipos de cumplimiento como de TI es a menudo un beneficio mayor que la optimización de los controles implementados.
ahora elijo Biblioteca de marco en el panel de navegación y cree un marco personalizado que incluya estos controles. Entonces elijo Evaluaciones en el panel de navegación y cree una evaluación que incluya el marco personalizado. Después de crear la evaluación, Audit Manager comienza a recopilar evidencia sobre las cuentas de AWS seleccionadas y su uso de AWS.
Siguiendo estos pasos, un equipo de cumplimiento puede informar con precisión sobre el control empresarial «los datos de las transacciones de los clientes siempre están disponibles» utilizando una implementación en línea con el diseño de su sistema y sus servicios de AWS existentes.
Cosas que saber
La biblioteca de control común está disponible hoy en todas las regiones de AWS donde se ofrece AWS Audit Manager. No hay ningún costo adicional por usar la biblioteca de control común. Para obtener más información, consulte Precios de AWS Audit Manager.
Esta nueva capacidad agiliza el proceso de evaluación de riesgos y cumplimiento, reduciendo la carga de trabajo de los equipos de GRC y simplificando la forma en que pueden asignar controles empresariales a Audit Manager para la recopilación de evidencia. Para obtener más información, consulte la Guía del usuario de AWS Audit Manager.
— Danilo
GIPHY App Key not set. Please check settings