如何定制亚马逊云科技合规性和审计服务

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/COP209-How_to_customize_AWS_compliance_and_auditing_services-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 安全操作、法规遵从性和审核的设置可能具有挑战性，特别是以易于可视化、管理和响应所发生的一切的方式。有时，使用完全管理的服务可以帮助减少风险，但限制创新。了解如何通过 Amazon Security Hub、Amazon CloudTrail Lake 和 Amazon Control Tower 使用亚马逊云科技配置，设置环境，为运营和法规遵从性成功做好准备。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1200字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 在视频开始时，作为亚马逊云科技（Amazon Web Services）全球首席云服务专家的Brad Gilman进行了自我介绍。他着重强调了自身工作核心在于提供与合规性和审计相关的服务。一同参与的还有亚马逊云科技（Amazon Web Services）CloudTrail产品经理Tsuchida Verma，以及北极狼（Arctic Wolf）公司的客户Todd Snyder。 Brad首先概括了他们将要讨论的主题，包括客户所面临的挑战、亚马逊云科技（Amazon Web Services）如何通过其服务帮助客户应对这些挑战以及如何根据客户需求定制服务。他的目标是要了解如何为客户量身定制亚马逊云科技（Amazon Web Services）的合规性和审计服务。 Brad强调的第一个关键挑战是紧跟技术变革。随着亚马逊云科技（Amazon Web Services）的迅速发展，不断推出新的服务和功能，客户在更新其安全工具和合规控制方面面临着困难。另一个主要问题是管理云中产生的大量安全数据。客户需要在整个环境中保持一致的最佳实践，但随着基础设施的扩展，这变得越来越困难。此外，让组织内的不同团队轻松访问安全和合规数据也是一个障碍。在保持控制的同时实现访问是一个难题。 为了应对这些客户挑战，Brad解释了亚马逊云科技（Amazon Web Services）如何将服务与风险管理的三道防线模型相结合。第一道防线包括控制塔（用于集中治理）、备份（用于恢复）和配置（用于跟踪资源变更）。第二道防线包括安全中心（用于全面可见性）和系统管理员（用于对调查结果采取行动）。第三道防线包括审计经理（用于证据收集）和CloudTrail（用于活动记录）。这个框架使客户能够在风险管理范围内部署各种功能。 在深入研究亚马逊云科技的服务时，布拉德强调了亚马逊云科技控制塔的一些关键功能和定制选项。该控制台可协调其他亚马逊云科技服务，以在不到一个小时的时间内构建一个安全的多账户环境。通过其仪表板，客户可以获得对账户的持续可见性，并检测与所需配置的偏离。客户可以选择启用的区域，部署自定义服务控制策略和Config规则，并将控制塔与安全中心集成。此外，控制塔还提供了管理CloudTrail日志的灵活性。 转向主题，布拉德解释了亚马逊云科技 Config 如何帮助客户跟踪资源更改和合规性。其规则引擎可以检查是否符合自定义策略，而其一致性包涵盖了主要的行业标准。客户可以添加非原生支持的自定义资源，使用CodeWhisperer编写自己的Config规则，根据需要修改一致性包，并在CloudTrail Lake中分析历史Config数据。 亚马逊云科技审计经理为客户提供了一个集中管理审计证据和框架的地方，正如布拉德所解释的那样。它可以自动收集来自亚马逊云科技的证据，同时也支持手动上传自定义证据。客户可以为内部需求或供应商风险评估构建完全定制的原则和控制。 接着，布拉德将话题交给了Verma来讨论亚马逊云科技 CloudTrail。Verma解释说，CloudTrail捕获用户活动和API调用，以提供亚马逊云科技账户中采取的操作的审计轨迹。CloudTrail将日志文件发送到客户选择的目的地——[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail), CloudWatch Logs或CloudTrail Lake。两年前推出的CloudTrail Lake是一个完全管理的数据湖，使客户能够轻松存储、聚合、可视化和分析CloudTrail日志。 Verma指出，CloudTrail支持几个定制选项。客户可以选择发送日志文件的位置以及是否启用组织范围的或个别账户的轨迹。事件选择器允许客户指定要记录的具体事件以减少数据量和成本。CloudTrail Lake可以输入非亚马逊云科技的事件，以提供一个分析所有活动数据的单一地点。如今，客户可以使用[Amazon Athena](https: //aws.amazon.com/cn/athena/?trk=cndc-detail)查询CloudTrail Lake中的数据，无需将其移动到其他位置。 目前，Brad已向来自北极狼公司的Todd Snyder分享了客户视角。据Todd总结，Arctic Wolf利用各种亚马逊云科技服务，为全球超过4600个机构提供网络安全防护。他们每天处理来自客户网络、多个云源和合作伙伴的共计4.5万亿个事件，涉及60个亚马逊云科技服务、5个地区和超过100个账户。 Todd解释说，他的职责是确保Arctic Wolf的亚马逊云科技环境安全可靠，并管理核心安全服务，如CloudTrail、亚马逊云科技配置和Security Hub。面临的一个关键挑战是如何应对Arctic Wolf在客户、数据、基础设施和账户方面的快速增长。他们需要在整个组织中采用一致的方式来部署安全工具。Todd希望通过集中化解决方案来实现合规性和安全性，同时也能让不同团队方便地使用数据。 他分享了他们如何运用特定服务，例如CloudTrail Lake，彻底改变了他们的工作流程。相较于之前的手动过程，它有效地解决了他们在摄入、汇总和分析CloudTrail日志方面的问题。如今，CloudTrail数据被用于安全调查、解决操作问题、了解资源使用情况以优化最小权限访问以及生成自动化报告。CloudTrail Lake使得审计日志数据在整个团队中更易获取。 至于亚马逊云科技配置，Todd表示他们已经将其作为追踪资源更改的基础服务。他们还计划将Config数据引入CloudTrail Lake，以便与CloudTrail事件一起查询。 Todd注意到他们正在扩大对亚马逊云科技系统管理器的使用，以实现诸如舰队管理器和库存管理器等功能。系统管理员帮助他们管理服务器机群的更新和包。 最后，Todd评论说，Security Lake是一个并行项目，旨在探讨更多可定制的安全数据湖选项。然而，CloudTrail Lake仍将作为他们的主要不可变审计日志存储库。在Security Lake上的工作正有助于推动他们治理过程的成熟度。 在探讨最后主题的过程中，Brad详细阐述了亚马逊云科技今年是如何致力于通过合规和审计服务来帮助客户优化成本的。例如，CloudTrail和Config现已支持排除可能不需要监控的昂贵资源类型。这种优化能够显著降低客户的成本，有些客户甚至能降低30-40%的成本。Brad强调，客户可以通过定制这些服务来满足其特定的合规需求，从而以高效的方式实现这一目标。 总的来说，这个视频深入探讨了客户在云计算合规和审计方面所面临的挑战。它详细介绍了亚马逊云科技在风险管理和安全领域的关键服务。演讲者强调了客户如何通过几种定制途径来调整这些服务，以满足他们最紧迫的需求。现实生活中的案例展示了客户（如Arctic Wolf）如何通过更高效地管理合规性问题而获得实际收益。 **下面是一些演讲现场的精彩瞬间：** 亚马逊云科技的领导者们介绍了CloudTrail的产品经理Tsuchida Verma以及来自Arctic Wolf公司的客户Todd Snyder，他们将在会议上发表演讲。  CloudTrail的新功能使得快速、稳定地访问用于分析和审计的日志数据变得更加容易。  在CloudTrail中，客户甚至能够指定要记录哪些S3存储桶事件，从而通过捕捉更少的数据来降低成本。  亚马逊云科技的领导者们讨论了亚马逊云科技系统管理器库存作为获取关于跨越数千个节点安装的软件包集中的有用信息的工具的重要性。  如今，亚马逊云科技已允许企业轻松排除不必要的资源类型，以满足各种合规框架或监管要求。  ## 总结 实现了对风险的控制和评估以及内部审计的功能。一位客户详细阐述了如何运用这些工具来进行安全监控、故障排查和访问权限分析。在降低成本方面也有所考虑，例如通过在配置中排除不必要的资源类型以及使用CloudTrail代替自制的日志传输管道。这次演讲向我们展示了一个高效且安全的解决方案，通过精心定制亚马逊云科技的服务来满足合规性要求和审计需求。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")