在亚马逊云科技上实现端到端合规性，以宝马为例

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/COP331-Implementing_end_to_end_compliance_on_AWS__featuring_BMW-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 如今，企业面临着平衡合规性和安全性要求的挑战。在本讲座中，您将了解定义和维护亚马逊云科技资源的安全性和合规性的端到端体验，和可以用来编写和自动化控制措施以及审查和纠正环境中不合规情况的工具，同时了解如何集成多个服务，如 Amazon CloudFormation、Amazon Config、Amazon Security Hub、Amazon Control Tower 和 Amazon Systems Manager，以帮助您保持资源的合规性。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1000字，阅读时间大约是5分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 亚马逊云科技的解决方案架构师安德烈斯·希拉（Andres Silva）详细介绍了如何在亚马逊云科技环境中实施端到端合规性的策略和工具。他强调了"端到端合规性"的概念，即将合规性融入工作负载生命周期的每个阶段，包括初始开发和停用。这种方法与只关注生产线的孤立合规方法不同。 安德里斯分享了客户在云计算合规性问题上常见的挑战，包括满足GDPR、HIPAA、PCI DSS等国际和地区监管要求，以及在整个组织内建立一致的合规运营最佳实践。他还强调了在不影响开发者速度和创新的前提下实现合规的目标。 安德里斯提出了一个名为“合规飞轮”的框架，分为五个关键阶段：确定、授权、部署、检测和补救。他通过这个框架介绍了相关的亚马逊云科技服务和功能，以构建一个端到端合规的环境。 在确定阶段，安德烈斯强调了在实施治理控制之前深入了解“规则”的重要性。亚马逊云科技Artifact提供了对数千份所需监管行业的亚马逊云科技合规报告和认证的无障碍访问。 如何在快速且可扩展的情况下修复不合规的资源？ 专业人士给出了指导合规飞轮剩余阶段的答案。他们概述了在制定合规政策时起关键作用的三种主要控制策略：侦查、预防及主动。 首先，侦查控制在资源创建后进行不合规资源的检测。其次，预防措施旨在从一开始就阻止不合规资源的生成。最后，主动控制会在资源提供前进行扫描和验证，防止不合规资源的进入。 在实际操作中，安德烈斯建议在使用亚马逊云科技的多账户环境中，从亚马逊云科技控制台开始基础治理和控制。控制台提供了超过500项与最佳实践相一致的管理预防、侦查和主动控制。然而，他也强调需要在必要时编写额外的自定义配置规则和政策，以满足特定组织的标准。 另一位专家解决方案架构师马特乌斯展示了如何通过客户管理的KMS密钥对SQS队列进行强制加密，超过了亚马逊云科技提供的默认SQS加密方式。这种自定义规则的功能使得能够实施符合组织合规需求的定制化政策。 安德烈斯还提到了"向左移动"的概念，即更早地在CI/CD管道中进行合规性测试，通过与主动控制的结合实现这一目标。这将把合规性责任交给开发人员，并在提供云资源之前发现并解决问题。 为了确保在所有环境中实现合规性，安德烈斯和马特乌斯强调了使用所有账户的亚马逊云科技配置以及集中配置数据的必要性。马特乌斯展示了如何提供一个跨数千个账户和区域的合规性状态的单一仪表板。他们还建议使用配置一致性包——一组可在整个亚马逊云科技组织中部署的预定义控制。这些一致性包包含了现成的行业标准控制和亚马逊云科技的最佳实践。 在2022年亚马逊云科技re:Invent上，马特乌斯展示了新的检测功能。合规控制台汇集器提供了一个概览，包括所有账户中不符合要求的资源。通过AI驱动的高级查询，可以使用自然语言调查合规问题——查询可以用普通的英语进行，而无需了解SQL或其他语法。" "在修复阶段，安德烈斯介绍了使用亚马逊云科技Systems Manager Automation documents以编程方式大规模修复不合规资源的自动修复方法。这些文档可以直接与Config规则集成，以触发修复操作。另一个选项是使用事件桥接器规则调用的Lambda函数进行自动修复。" "在宝马的使用案例中，詹斯分享了他们在实际操作和扩展其庞大连接车辆群的合规性方面的经验。宝马拥有2000多万辆连接车辆，每天产生120亿次请求，分布在其1000个亚马逊云科技环境中。在这个规模上维护合规性是一项艰巨但至关重要的任务。" "宝马首先从小的方面入手，使用亚马逊云科技Trusted Advisor和Config进行非合规资源的检测。然而，随着环境的增长呈指数级增长，这些手动方法无法有效地扩大规模。" "因此，宝马采取了措施来自动化和优化其合规飞轮：为开发人员提供了解决合规问题的文档；根据严重性对修复问题进行优先排序；构建了提供合规状态可视性的仪表板；扩展了自定义Config规则，以监控更多的资源。这种自动化的‘合规飞轮’在整个组织中实现了持续治理，减少了人工开销。宝马还构建了一个AI助手，可以直接在代码中生成非合规资源的解决方案。这进一步加速了问题的解决。" "总之，安德烈斯强调了利用亚马逊云科技的现成功能（如控制塔）的同时，也根据组织需求定制策略。通过‘移左’和自动修复，可以积极主动地验证最终关闭合规循环。飞轮模型为一个全面的框架，提供了端到端合规的逐步操作指南。通过将合规性融入开发和运营，企业可以在亚马逊云科技上扩展安全、合规的工作负载。 **下面是一些演讲现场的精彩瞬间：** 马托斯向观众展示了他作为Wolverines产品专家的专业背景。  他的演讲将涉及端到端合规性的定义、面临的常见挑战、实施框架的构建、引人注目的客户案例以及实现端到端合规性的主要收益。  领导者们强调了在全球范围内满足监管需求的同时推动创新的重要性。  马托斯展示了如何利用亚马逊云科技Config功能来评估资源的合规性并根据规则采取相应行动。  领导者们强调了公司在车辆连接和数据处理方面的惊人规模，同时承认确保质量和应对大规模挑战的优化工作。  为员工提供一份按优先级排列的安全规则知识库有助于他们更高效地理解和解决安全漏洞问题。  ## 总结 这段演讲探讨了如何在亚马逊云科技上实现全面的合规性。 演讲者首先将全面合规定义为在整个工作负载生命周期（从开发到停用）的每个阶段都考虑合规性问题。他们列出了一些常见挑战，如满足不同监管要求和不阻碍创新的前提下建立最佳实践。 为了应对这些挑战，他们提出了一种名为“飞轮”的框架，该框架包含五个关键步骤：确定、编写、部署、检测和补救。确定意味着要理解合规性框架并评估当前的状况。编写涉及创建合规性的基础设施代码。部署是指在整个组织中一致地推广控制措施。检测涉及到使用诸如亚马逊云科技Config之类的工具来识别非合规资源。补救则使用自动化来修复非合规资源。 宝马公司就是通过这种方式来扩大其管理范围的。他们从亚马逊云科技Trusted Advisor开始，然后添加文档和仪表板以关注团队的主要问题。他们还创建了符合他们标准的自定义亚马逊云科技Config规则。这种工作流程实现了持续优化和自动化。 演讲者强调了使用亚马逊云科技的服务，如亚马逊云科技Control Tower和亚马逊云科技Config，以执行同行代码审查，与框架保持一致，并通过积极的政策检查“转移左侧”的重要性。他们建议从基础控制开始，然后根据需要逐步扩展。 主要内容是，企业可以通过一种系统化的方法，利用亚马逊云科技的原生服务、自动化和一个“转移左侧”的文化来实现强大的端到端合规性。这样可以在不阻碍创新的前提下建立防护栏。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")