OPS01-BP04 评估合规性要求

监管、行业和内部合规性要求是定义组织优先级的重要驱动因素。您的合规性框架可能会阻止您使用特定技术或地理位置。如果未确定外部合规框架，则进行尽职调查。生成验证合规性的审计或报告。

如果您宣称自己的产品符合特定的合规性标准，则您必须有内部流程来确保持续合规。合规性标准的示例包括 PCI DSS、FedRAMP 和 HIPAA。适用的合规性标准由各种因素决定，例如解决方案存储或传输的数据类型，以及解决方案支持的地理区域。

期望结果：

• 将监管、行业和内部合规性要求纳入架构选择。

• 您可以验证合规性并生成审计报告。

常见反模式：

• 部分工作负载属于支付卡行业数据安全标准（PCI-DSS）框架，但您的工作负载以未加密方式存储信用卡数据。

• 软件开发人员和架构师不了解组织必须遵循的合规性框架。

• 年度系统与组织控制（SOC2）类型 II 审计即将开始，您无法验证控制措施是否已到位。

建立此最佳实践的好处：

• 评估和了解适用于工作负载的合规性要求将为您提供相关信息，告知您如何通过安排工作的优先级来实现业务价值。

• 选择与合规性框架保持一致的适当位置和技术。

• 设计工作负载以实现可审计性，这样就可以证明您遵守合规性框架。

在未建立这种最佳实践的情况下暴露的风险等级：高

实施指导

实施此最佳实践意味着将合规性要求纳入架构设计过程。您的团队成员了解所需的合规性框架。您依照框架验证合规性。

客户示例

AnyCompany Retail 存储客户的信用卡信息。卡存储团队的开发人员明白他们需要遵守 PCI-DSS 框架。他们已采取措施来确认按照 PCI-DSS 框架安全地存储和访问信用卡信息。他们每年都会与安全团队一起验证合规性。

实施步骤

1. 与我们的安全性和治理团队合作，确定您的工作负载必须遵守哪些行业、监管或内部合规性框架。将合规性框架纳入您的工作负载。

   1. 使用 AWS Compute Optimizer 和 AWS Security Hub 等服务验证 AWS 资源是否持续合规。

2. 向团队成员介绍合规性要求，以便他们可以根据要求运行和改进工作负载。架构和技术选择中应包括合规性要求。

3. 根据合规性框架，您可能需要生成审计或合规性报告。与组织合作，尽可能使此过程实现自动化。

   1. 使用 AWS Audit Manager 等服务验证合规性和生成审计报告。

   2. 您可以使用 AWS Artifact 下载 AWS 安全性和合规性文档。

实施计划的工作量级别：中等。实施合规性框架并非易事。生成审计报告或合规性文档带来了额外的复杂性。

资源

相关最佳实践：

• SEC01-BP03 识别并验证控制目标 - 安全控制目标是整体合规性的重要组成部分。

• SEC01-BP06 在管道中自动测试和验证安全控制措施 - 作为管道的一部分，验证安全控制。您还可以生成新变更的合规性文档。

• SEC07-BP02 定义数据保护控制措施 - 许多合规性框架都基于数据处理和存储策略。

• SEC10-BP03 准备取证能力 - 有时候审计合规性中会使用取证功能。

相关文档：

• AWS 合规中心

• AWS 合规性资源

• AWS 风险和合规性白皮书

• AWS 责任共担模式

• 合规性计划范围内的 AWS 服务

相关视频：

• AWS re:Invent 2020：使用 AWS Compute Optimizer 实现合规性即代码

• AWS re:Invent 2021 - 云合规性、保证和审计

• AWS Summit ATL 2022 - 在 AWS 上实施合规性、保证和审计（COP202）

相关示例：

• AWS 上的 PCI DSS 和 AWS 基础安全最佳实践

相关服务：

• AWS Artifact

• AWS Audit Manager

• AWS Compute Optimizer

• AWS Security Hub