审计自动化 - 使用 AWS Audit Manager 持续收集合规证据
详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。
审计应对的挑战与 Audit Manager 的作用
云环境的合规审计对许多组织来说是沉重的负担。SOC 2 和 PCI DSS 审计需要针对数百个控制项收集、整理和提交证据。以往需要下载 CloudTrail 日志、截取 Config 规则评估结果的截图、手动确认安全设置等大量手工操作。AWS Audit Manager 是一项自动化审计证据收集和管理的服务。提供主要合规框架(SOC 2、PCI DSS、GDPR、HIPAA、ISO 27001、NIST 800-53 等)的预构建评估模板,从 AWS Config、CloudTrail、Security Hub 和手动输入中自动收集和整理对应各控制项的证据。由于在审计期间持续积累证据,无需在审计前夕匆忙收集。
创建评估与证据收集
使用 Audit Manager 从创建评估(Assessment)开始。选择框架(如 SOC 2),指定目标 AWS 账户和区域后,即开始自动收集对应框架控制项的证据。证据从 3 个来源收集:AWS Config 规则的评估结果(资源配置是否符合控制项)、CloudTrail 事件日志(谁在何时做了什么)、Security Hub 的发现(安全最佳实践的合规状况)。还可上传策略文档和流程说明书等文件作为手动证据。收集的证据按控制项自动分类整理,可在仪表板上一览各控制项的证据收集状况。
自定义框架与委派
除预构建框架外,还可通过自定义框架定义组织独有的审计标准。创建自定义控制集和自定义控制项,为每个控制项指定对应的证据来源(Config 规则、CloudTrail 事件、手动)。可自动化针对内部安全策略或行业特定法规的审计。委派(Delegation)功能可为每个控制项指定负责人,请求其审查和批准证据。例如,将网络安全控制项委派给基础设施团队,将访问管理控制项委派给安全团队。负责人可在仪表板上查看分配给自己的控制项,审查证据并添加评论。 从基础到进阶,可通过相关书籍(Amazon)系统学习 AWS 合规。
审计报告与 Organizations 集成
评估期结束后,生成审计报告并输出到 S3 存储桶。报告包含框架控制项列表、各控制项的证据和评估结果,可直接作为提交给外部审计人员的资料。通过与 AWS Organizations 集成,可从管理账户创建针对组织内多个账户的评估。指定委托管理员账户后,安全团队无需管理账户权限即可运维 Audit Manager。费用按资源评估次数计费,自动证据为每资源/评估 0.0012 美元。例如用 1 个框架评估 1,000 个资源,月费约 1.20 美元,成本极低。Config 和 CloudTrail 的使用费另行产生,但这些服务也用于审计以外的目的,因此 Audit Manager 特有的额外成本极小。
Audit Manager 的定价
Audit Manager 按资源评估次数计费。每次资源评估约 0.001 美元,费用随评估对象的资源数和框架控制项数而变化。Config 规则的评估费用(每次约 0.003 美元)另行产生。在大规模环境中,应将评估对象框架限定为必要的范围,避免一律启用所有框架以控制成本。与手动审计证据收集(数周工时)相比,Audit Manager 的自动收集可实现大幅成本削减。
总结 - Audit Manager 使用指南
AWS Audit Manager 是一项自动化合规审计证据收集和管理的服务。SOC 2、PCI DSS、GDPR 等主要框架的预构建模板、从 Config、CloudTrail、Security Hub 自动收集证据、通过委派实现的审查工作流以及审计报告的自动生成是其主要优势。对于每年在审计应对上花费数百小时的组织,Audit Manager 可实现大幅工时削减。低成本(每资源评估 0.0012 美元)即可导入,建议从 1 个框架开始逐步扩展。