OPS01-BP04 评估合规性要求

监管、行业和内部合规性要求是定义组织优先事项的重要驱动因素。您的合规性框架可能会阻止您使用特定技术或地理位置。如果未确定外部合规性框架，则进行尽职调查。生成验证合规性的审计或报告。

如果您宣称自己的产品符合特定的合规性标准，则您必须有内部流程来确保持续合规。合规标准的示例包括 PCIDSS, 美联储RAMP, 和HIPAA. 适用的合规性标准由各种因素决定，例如解决方案存储或传输的数据类型，以及解决方案支持的地理区域。

期望结果：

• 将监管、行业和内部合规性要求纳入架构选择。

• 您可以验证合规性并生成审计报告。

常见反模式：

• 您的部分工作负载属于支付卡行业数据安全标准 (PCI-DSS) 框架，但您的工作负载存储的是未加密的信用卡数据。

• 软件开发人员和架构师不了解组织必须遵循的合规性框架。

• 一年一度的 Systems and Organizations Control (SOC2) II 类审计即将进行，你无法验证控制措施是否到位。

建立此最佳实践的好处：

• 评估和了解适用于工作负载的合规性要求将为您提供相关信息，告知您如何通过安排工作的优先级来实现业务价值。

• 选择与合规性框架保持一致的适当位置和技术。

• 设计工作负载以实现可审核性，以便证明您遵守合规性框架。

在未建立这种最佳实践的情况下暴露的风险等级：高

实施指导

实施此最佳实践意味着将合规性要求纳入架构设计过程。团队成员了解所需的合规性框架。您依照框架验证合规性。

客户示例

AnyCompany 零售商店为客户提供的信用卡信息。卡片存储团队的开发人员明白，他们需要遵守 PCI-DSS 框架。他们已采取措施验证信用卡信息的存储和访问是否符合 PCI-DSS 框架。他们每年都会与安全团队一起验证合规性。

实施步骤

1. 与安全和治理团队合作，确定工作负载必须遵守哪些行业、监管或内部合规性框架。将合规性框架纳入工作负载。

   1. 使用AWS Compute Optimizer和AWS Security Hub之类的服务，验证 AWS 资源的持续合规性。

2. 向团队成员介绍合规性要求，以便他们可以根据要求运行和改进工作负载。架构和技术选择中应包括合规性要求。

3. 根据合规性框架，您可能需要生成审核或合规性报告。与组织合作，尽可能使此过程实现自动化。

   1. 使用诸如 AWS Audit Manager 之类的服务验证合规性并生成审核报告。

   2. 您可以通过下载 AWS 安全与合规性文档AWS Artifact。

实施计划的工作量级别：中。实施合规性框架并非易事。生成审核报告或合规性文档带来了额外的复杂性。

资源

相关最佳实践：

• SEC01-BP03 识别和验证控制目标-安全控制目标是整体合规的重要组成部分。

• SEC01-BP06 自动测试和验证管道中的安全控制-作为管道的一部分，验证安全控制。还可以生成新变更的合规性文档。

• SEC07-BP02 定义数据保护控制-许多合规框架都基于数据处理和存储策略。

• SEC10-BP03 准备取证功能-取证功能有时可用于审计合规性。

相关文档：

• AWS 合规中心

• AWS 合规资源

• AWS 风险与合规白皮书

• AWS 责任共担模型

• AWS 合规计划范围内的服务

相关视频：

• AWS re: Invent 2020：使用代码实现合规性 AWS Compute Optimizer

• AWS re: Invent 2021-云合规、保障和审计

• AWS ATL2022 年峰会——在 AWS (COP202) 上实施合规、鉴证和审计

相关示例：

• PCIDSS以及 AWS 《基础安全最佳实践》 AWS

相关服务：

• AWS Artifact

• AWS Audit Manager

• AWS Compute Optimizer

• AWS Security Hub