Vue d'ensemble de l'ontologie - Catalogue AWS Control

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vue d'ensemble de l'ontologie

AWS a développé un système de classification standard pour aider à classer, organiser et créer des mappages entre les contrôles. Cette ontologie peut être utilisée pour mapper les contrôles aux normes réglementaires existantes et nouvelles, y compris 24 cadres, ainsi qu'aux normes réglementaires telles que PCI, HIPAA, etc. Nous nous adaptons également aux normes du secteur telles que le NIST et l'ISO, ainsi qu'aux frameworks spécifiques à Amazon, notamment le framework Well-Architected.

L'ontologie comporte quatre aspects fondamentaux

  • Classification des contrôles par domaine de contrôle, objectif de contrôle et contrôles communs. L'ontologie permet d'organiser et de regrouper les contrôles associés en trois niveaux :

    • L1 : domaine de contrôle,

    • L2 : objectif de contrôle,

    • L3 : Contrôle commun.

    Ces niveaux ont une relation hiérarchique stricte. En d'autres termes, chaque domaine a plusieurs objectifs de contrôle, mais chaque objectif de contrôle doit avoir un seul domaine parent. Chaque objectif de contrôle possède plusieurs contrôles communs, mais chaque contrôle commun a un seul objectif parent.

  • Cartographie selon les normes réglementaires. L'ontologie repose sur un concept appelé contrôle standard (L4) qui représente une exigence spécifique au sein d'une norme réglementaire ou industrielle. Ces contrôles standard sont mappés aux contrôles communs qui permettent de répondre à ces exigences spécifiques.

    Par exemple, PCI-DSS v3.2.1. ID 4.1 Utilisez des protocoles de cryptographie et de sécurité robustes pour protéger les données sensibles des titulaires de cartes lors de la transmission sur des réseaux publics ouverts et NIST 800.53.r5 ID SC-16 La transmission des attributs de sécurité et de confidentialité est deux contrôles standard, tous deux mappés au contrôle commun Chiffrer les données en transit.

  • Implémentations de contrôle et preuves de contrôle. L'ontologie repose sur un concept d'implémentations de contrôle (L6) qui peut représenter soit une implémentation de contrôle spécifique dans AWS, par exemple, un AWS Control Tower contrôle, une AWS Security Hub vérification, une AWS Config règle, etc., soit une implémentation externe non technique AWS, telle que le guidage de processus. Un concept distinct de preuve de contrôle (L7) représente les sources de données qui peuvent être utilisées comme preuve pour les contrôles effectués par AWS Audit Manager des outils tiers ou par les clients eux-mêmes. Ces sources de preuves peuvent être AWS des sources telles que AWS CloudTrail des événements, des journaux d'appels d'API et des résultats d'évaluation des AWS Config règles. Il peut également s'agir de sources externes telles que la documentation client.

  • Le concept d'un contrôle central (L5). Le contrôle de base est une couche cartographique qui consolide toutes les implémentations de contrôle (L6), les sources de preuves correspondantes (L7), les contrôles standard associés (L4) et les contrôles communs (L3) en un seul objet holistique. Le contrôle de base est davantage un document de mappage qu'un contrôle lui-même. Cela permet de répondre à la question de me montrer toutes les informations relatives au contrôle X. Chaque contrôle de base peut avoir plusieurs implémentations de contrôle (L6) et plusieurs sources de preuves (L7).

En résumé, l'ontologie du catalogue de AWS contrôles contient sept couches. Trois sont des couches de classification hiérarchiques (domaines de contrôle, objectifs de contrôle, contrôles communs). Une autre couche (contrôles standard) décrit les exigences réglementaires ou industrielles. Une couche de mappage (contrôle central) décrit un résultat de contrôle pour un type de ressource donné. Deux couches (implémentations de contrôle, preuves de contrôle) décrivent les implémentations de contrôle spécifiques et les sources de preuves.

Cette ontologie a été conçue par une AWS équipe d'auditeurs certifiés, sur la base de leur expérience de travail avec des centaines de clients dans le cadre d'audits de conformité. Les concepts de domaines de contrôle, d'objectifs de contrôle, de contrôles communs et de contrôles standard (L1-L4) sont utilisés dans l'ensemble de l'industrie. Ils correspondent aux modèles industriels courants et aux recommandations du NIST. Les trois couches restantes (L5-L7) ont été conçues sur la base de AWS concepts existants, tels que les types de ressources et les contrôles gérés.