OPS01-BP04 评估合规性要求 - AWS Well-Architected 框架

OPS01-BP04 评估合规性要求

监管、行业和内部合规性要求是定义组织优先事项的重要驱动因素。您的合规性框架可能会阻止您使用特定技术或地理位置。如果未确定外部合规性框架,则进行尽职调查。生成验证合规性的审计或报告。

如果您宣称自己的产品符合特定的合规性标准,则您必须有内部流程来确保持续合规。合规性标准的示例包括 PCI DSS、FedRAMP 和 HIPAA。适用的合规性标准由各种因素决定,例如解决方案存储或传输的数据类型,以及解决方案支持的地理区域。

期望结果:

  • 将监管、行业和内部合规性要求纳入架构选择。

  • 您可以验证合规性并生成审计报告。

常见反模式:

  • 部分工作负载属于支付卡行业数据安全标准(PCI-DSS)框架,但工作负载以未加密方式存储信用卡数据。

  • 软件开发人员和架构师不了解组织必须遵循的合规性框架。

  • 年度系统与组织控制(SOC2)类型 II 审核即将开始,您无法验证控制措施是否已到位。

建立此最佳实践的好处:

  • 评估和了解适用于工作负载的合规性要求将为您提供相关信息,告知您如何通过安排工作的优先级来实现业务价值。

  • 选择与合规性框架保持一致的适当位置和技术。

  • 设计工作负载以实现可审核性,以便证明您遵守合规性框架。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

实施此最佳实践意味着将合规性要求纳入架构设计过程。团队成员了解所需的合规性框架。您依照框架验证合规性。

客户示例

AnyCompany Retail 存储客户的信用卡信息。卡存储团队的开发人员明白他们需要遵守 PCI-DSS 框架。他们已采取措施来确认按照 PCI-DSS 框架安全地存储和访问信用卡信息。他们每年都会与安全团队一起验证合规性。

实施步骤

  1. 与安全和治理团队合作,确定工作负载必须遵守哪些行业、监管或内部合规性框架。将合规性框架纳入工作负载。

    1. 使用 AWS Compute OptimizerAWS Security Hub 之类的服务,验证 AWS 资源的持续合规性。

  2. 向团队成员介绍合规性要求,以便他们可以根据要求运行和改进工作负载。架构和技术选择中应包括合规性要求。

  3. 根据合规性框架,您可能需要生成审核或合规性报告。与组织合作,尽可能使此过程实现自动化。

    1. 使用诸如 AWS Audit Manager 之类的服务验证合规性并生成审核报告。

    2. 您可以通过 AWS Artifact 下载 AWS 安全与合规性文档。

实施计划的工作量级别:中。实施合规性框架并非易事。生成审核报告或合规性文档带来了额外的复杂性。

资源

相关最佳实践:

相关文档:

相关视频:

相关示例:

相关服务: