本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本体论概述
AWS 开发了标准分类系统,以帮助对控件进行分类、组织和创建映射。该本体可用于将控制与现有和新的监管标准(包括 24 个框架)以及监管标准(例如 PCI、HIPAA 等)对应起来。我们还映射到行业标准,例如NIST和ISO,以及亚马逊特定的框架,包括Well-Architected框架。
本体有四个核心方面
-
按控制域、控制目标和常用控制对控制进行分类。本体有助于将相关的控件组织和分组为三个级别——
-
L1:控制域,
-
L2:控制目标,
-
L3:通用控制。
这些级别具有严格的等级关系。也就是说,每个域都有多个控制目标,但每个控制目标必须有一个父域。每个控制目标都有多个常用控件,但每个常用控制目标都有一个单父目标。
-
-
映射到监管标准。本体有一个称为标准控制(L4)的概念,它代表了监管或行业标准中的特定要求。这些标准控件映射到有助于满足这些特定要求的常用控件。
例如,PCI- DSS v3.2.1。ID 4.1 在通过开放的公共网络传输期间,使用强大的加密和安全协议来保护敏感的持卡人数据,以及 NIST 800.53.r5 ID SC-16 安全和隐私属性的传输是两个标准控件,两者都映射到传输中的加密数据通用控件。
-
控制实施和控制证据。本体有一个控制实现 (L6) 的概念,它可以表示控件 AWS、 AWS Security Hub CSPM 检查、 AWS Config 规则等中的特定 AWS Control Tower 控制实现,也可以表示外部的非技术实现 AWS,例如过程指导。单独的控制证据 (L7) 概念表示可由 AWS Audit Manager第三方工具或客户自己用作控制证据的数据源。这些证据 AWS 来源可能是 AWS CloudTrail 事件、API 调用日志和 AWS Config 规则评估结果等来源。或者,它们可能是外部来源,例如客户文档。
-
核心控件 (L5) 的概念。核心控件是一个映射层,它将所有控制实现 (L6)、相应的证据来源 (L7)、相关的标准控件 (L4) 和常用控件 (L3) 整合到一个整体对象中。核心控件与其说是一个控件本身,不如说是一个映射文档。它有助于回答向我展示与控件 X 相关的所有信息的问题。 每个核心控制可以有多个控制实现 (L6) 和多个证据来源 (L7)。
总而言之, AWS 控制目录本体包含七层。三个是分层分类层(控制域、控制目标、通用控制)。另一层(标准控制)描述了监管或行业标准要求。映射层(核心控件)描述给定资源类型的控制结果。两层(控制实现、控制证据)描述了具体的控制实施和证据来源。
本体论是由一 AWS 组经过认证的审计师根据他们与数百家客户合作进行合规审计的经验设计的。控制域、控制目标、通用控制和标准控制 (L1-L4) 的概念在整个行业中都使用。它们符合常见的行业模式和 NIST 的建议。其余三个层 (L5-L7) 是根据现有 AWS 概念(例如资源类型和托管控件)设计的。
