云对比

AWS 143 项以上合规认证的全面覆盖 - 从 ISMAP 到 PCI DSS 压倒性的取得实绩

以 ISMAP、SOC、PCI DSS、HIPAA 为轴解析 AWS 取得的 143 项以上合规认证,并与 Azure 和 GCP 的认证覆盖度进行对比。

約 2 分で読めます

143 项以上认证意味着什么

截至 2025 年,AWS 已对应超过 143 项安全标准和合规计划。这个数字不仅是营销指标,而是逐一满足各国各行业监管机构要求的结果积累。金融行业的 PCI DSS、医疗领域的 HIPAA、政府机构的 FedRAMP、日本政府信息系统的 ISMAP 等,各自经过不同的审计标准和审查流程取得。认证取得需要大量文档整备、技术控制实施和第三方审计,仅维护一项认证每年就需要数千万日元规模的成本。AWS 能维护如此多认证的背后,是专职合规团队和将认证要求从设计阶段就融入服务的工程文化。

ISMAP 与日本市场的对应

ISMAP(Information system Security Management and Assessment Program)是日本政府于 2020 年启动的云服务安全评估制度。政府机构采购云服务时,原则上从 ISMAP 注册服务中选定。AWS 从 ISMAP 启动之初就完成了注册,对象服务数量在主要云厂商中最多。ISMAP 的评估标准以 ISO 27001 为基础并追加了日本特有要求,对数据所在地和运维体制设有严格标准。AWS 在国内拥有东京区域和大阪区域两个据点,能够满足数据国内保存要求是其优势。也对应了面向地方自治体的 ISMAP-LIU(Low-Impact Use),推动自治体的云迁移。面向金融机构也公开了对 FISC 安全对策基准的合规状况,对日本市场的投入力度尤为突出。

SOC 报告与持续审计体制

AWS 取得了 SOC 1、SOC 2、SOC 3 全部报告。SOC 1 评估与财务报告相关的内部控制,对在 AWS 上运行会计系统的企业不可或缺。SOC 2 基于安全性、可用性、处理完整性、机密性和隐私 5 项信任原则进行评估,全面证明云服务的可靠性。SOC 3 是 SOC 2 的摘要版,向公众公开,任何人都可查阅。重要的是,这些都作为 Type II 报告发行。Type I 评估特定时点的控制设计,而 Type II 证明通常 6 到 12 个月期间内控制有效运行。AWS 维持每年 2 次的 SOC 审计周期,构建了无审计空白期的体制。这种持续审计体制对客户企业进行自身审计应对也有很大帮助。

PCI DSS 与 HIPAA - 行业特有的严格标准

PCI DSS(Payment Card Industry Data Security Standard)适用于所有处理信用卡信息的组织,AWS 被认定为最严格的 Level 1 服务提供商。对象服务超过 100 项,EC2、S3、RDSLambda 等主要服务几乎全部在 PCI DSS 范围内。这使客户在 AWS 上构建卡支付系统时,可将基础设施层的 PCI DSS 合规委托给 AWS。HIPAA(Health Insurance Portability and Accountability Act)是美国医疗信息保护法,AWS 明确公开 HIPAA 对应服务,并建立了与客户签订 BAA(Business Associate Agreement)的机制。日本医疗机构也需要对应厚生劳动省的「医疗信息系统安全管理指南」,AWS 公开了对 3 省 2 指南的对应状况,在医疗领域的采用实绩不断增加。

与 Azure 和 GCP 的认证覆盖度对比

Azure 公布了 100 项以上、GCP 公布了 40 项以上的合规认证。AWS 的 143 项以上在认证总数上超越其他厂商。但仅以数量比较并不恰当。重要的是自身所需的认证是否被覆盖。Azure 在以 Microsoft 365 和 Dynamics 365 集成为前提的认证取得方面有优势,在 EU 的 GDPR 对应和政府认证方面与 AWS 具有同等覆盖度。GCP 虽在认证数量上落后,但近年来快速推进取得,FedRAMP High 和 HITRUST 等主要认证已覆盖。AWS 特别占优的是各认证对象服务数量的多少。即使取得了认证,如果对象服务有限,客户的架构选择就会受限。AWS 在新服务发布后迅速将其纳入现有认证范围的运营上,与其他厂商的差距显著。在日本特有的 ISMAP 对象服务数量上 AWS 也处于领先。

认证取得的实务活用方法

要将 AWS 的认证用于自身的合规应对,可使用 AWS Artifact。Artifact 是可按需下载 AWS 审计报告和认证文档的服务,可即时获取 SOC 报告、PCI DSS 的 AOC(Attestation of Compliance)、ISO 27001 认证书等。在自身审计应对中,将 AWS 负责范围的控制以 AWS 认证替代,将审计资源集中在自身负责范围的策略是有效的。使用 AWS Config Rules 可持续评估自身资源是否符合特定合规标准。提供了对应 PCI DSS 和 CIS Benchmark 的规则包,可自动检测配置漂移。如需系统学习合规实务,相关书籍 (Amazon) 也可作为参考。

相关文章

AWS IAM 细粒度访问控制 - 基于策略的设计实现最小权限原则解析 AWS IAM 基于策略的访问控制设计思想,并与 Azure RBAC 和 GCP IAM 在粒度方面进行具体比较。AWS 安全服务的整合力 - 从 GuardDuty 到 Detective 无需 SIEM 的原生威胁检测解析 GuardDuty、Security Hub、Detective、Macie 协同实现的原生威胁检测机制,并与 Azure Sentinel 的设计思想进行比较。AWS 责任共担模型的清晰度 - 文档化与实现一致性构建的安全信任基础从文档化的彻底程度、按服务类型划分的责任边界、与其他厂商模型的比较,解析 AWS 的责任共担模型为何被评为业界最清晰。

本主题的更多内容

Amazon.com 是 AWS 最大的客户 - 内部吃狗粮机制打造的服务质量秘密从 Amazon.com 的电商网站、Prime Video、Alexa 运行在 AWS 上的事实出发,解析内部吃狗粮机制如何提升服务质量,以及 Prime Day 的负载如何锤炼 AWS 的架构设计。AWS AI/ML 服务层级结构 - SageMaker、Bedrock 与 API 型服务三层实现的灵活性将 AWS 的 AI/ML 服务整理为 SageMaker(完全控制)、Bedrock(托管式生成 AI)和 Rekognition 等(API 型)三层结构,通过与 GCP Vertex AI 和 Azure OpenAI Service 的对比,解析包含自研芯片集成在内的 AWS 灵活性优势。AWS 数据分析与数据湖 - Athena、Glue、Lake Formation、Redshift 的集成生态系统解析 AWS 的 Athena、Glue、Lake Formation、Redshift、QuickSight 构成的集成数据分析栈,与 Azure Synapse Analytics 和 GCP BigQuery 对比,阐述 AWS 在生态系统整体集成度方面的优势。AWS 的向后兼容性与 API 稳定性 - 永不废弃已发布 API 的方针所建立的信任解析 AWS 坚持不废弃已发布 API 的实绩,与 Azure 的品牌变更和 GCP 的服务停用案例对比,阐述 API 稳定性对企业为何至关重要。AWS 可用区设计 - 物理隔离与故障隔离带来的可靠性差异解析 AWS 可用区作为物理独立数据中心群的设计理念,与 Azure 和 GCP 的可用区对比,通过实际故障案例阐述故障隔离成熟度的差异。AWS 技能的招聘市场价值与认证资格的薪资溢价分析 AWS 技能相关的职位数量、认证资格持有者的薪资溢价及对职业路径的影响,与 Azure 和 GCP 对比,评估 AWS 资格认证的投资回报。AWS 技术社区与学习资源 - 从 re:Invent 到 JAWS-UG将 re:Invent、AWS Summit、JAWS-UG 等技术社区以及日语文档和培训的充实度与 Azure 和 GCP 对比,解析 AWS 学习环境的优势。AWS 容器编排 - ECS、EKS、Fargate 三驾马车提供的选择自由将 AWS 提供的 ECS、EKS、Fargate 三种容器编排方案与 Azure ACI/AKS 及 GCP Cloud Run/GKE 进行比较,解析根据工作负载特性灵活选择所带来的实际优势。

相似的文章与服务

使用 AWS Artifact 获取合规报告 - 审计应对与合同管理按需获取 SOC、PCI DSS、ISO 审计报告,并将 BAA 和 GDPR DPA 一键应用到整个 Organizations 的操作步骤。AWS Artifact按需获取 AWS 合规报告和协议的服务审计自动化 - 使用 AWS Audit Manager 持续收集合规证据详解使用 AWS Audit Manager 自动收集审计证据。介绍基于框架(SOC 2、PCI DSS、GDPR 等)的自动评估、证据统一管理和审计报告生成。AWS Audit Manager自动化合规审计的证据收集,持续评估 SOC 2、PCI DSS、HIPAA 等框架合规状况的服务AWS 的区域与边缘站点 - 33 个区域、600 多个 PoP 创造的物理优势从与 Azure、GCP 的站点数比较和日本国内 3 区域体制的战略价值,解读 AWS 在全球部署 33 个区域、100 多个 AZ、600 多个边缘站点的意义。