AWS Audit Manager
自动化合规审计的证据收集,持续评估 SOC 2、PCI DSS、HIPAA 等框架合规状况的服务
概述
AWS Audit Manager 是一项自动化 AWS 环境中合规审计证据收集和评估的服务。预置了 SOC 2、PCI DSS、HIPAA、GDPR、NIST 800-53 等行业标准框架,可从 AWS Config 规则、CloudTrail 日志、Security Hub 检测结果等自动收集证据。也支持上传手动证据,可构建集成技术自动验证和人工确认的审计工作流。
框架与控制项的结构
Audit Manager 的核心是框架、控制集和控制项的三层结构。框架代表整个审计标准 (如 SOC 2 Type II),其中包含控制集 (如逻辑访问控制),再定义各个控制项 (如 MFA 启用确认)。可以直接使用 AWS 提供的标准框架,但实务中更多的是创建反映组织特定需求的自定义框架。自定义框架中,可以在标准控制项基础上添加基于自身策略的控制项,组合 AWS Config 的自定义规则和手动确认项。控制项关联数据源,自动将 AWS Config 的合规/不合规状态、CloudTrail 的 API 调用日志、Security Hub 的检测结果作为证据纳入。在框架设计阶段明确各控制项的评估频率和负责人,可以防止运维阶段的混乱。
证据的自动收集与手动证据
Audit Manager 处理三种类型的证据。第一种是合规检查型,自动获取 AWS Config 规则的评估结果。第二种是用户活动型,从 CloudTrail 提取特定的 API 调用 (IAM 策略变更、S3 存储桶配置变更等)。第三种是配置快照型,定期捕获资源的当前配置状态。对于自动收集无法覆盖的领域,使用手动证据。例如安全培训的参加记录、物理访问控制日志、供应商评估报告等,以 PDF 或截图形式上传。证据按评估以文件夹结构整理,并按控制项关联,审计人员可以一览查看特定控制项的所有证据。通过与 Organizations 集成,在多账户环境中也可以从委托管理员账户统一收集证据。
评估报告生成与审计应对
创建评估 (Assessment) 后,将基于指定的框架开始自动收集证据。评估的目标范围通过 AWS 账户和区域的组合指定,可以进行如仅将生产环境作为审计对象的筛选。收集的证据自动映射到各控制项,负责人进行审查并更新状态。所有控制项审查完成后,可以生成 PDF 格式的评估报告并输出到 S3 存储桶。该报告包含每个控制项的证据列表、合规/不合规摘要和手动审查评论,可直接作为提交给外部审计人员的资料使用。实务要点是持续执行评估,每季度获取快照。不是在年度审计前匆忙收集证据,而是构建日常积累证据的机制,从而大幅减少审计应对的工时。