本文共 1548 字,大约阅读时间需要 5 分钟。
近日,Amazon Web Services(AWS)了跨多个账户和/或区域聚合由AWS Config Rules生成的合规数据的功能,实现了AWS资源的集中审计和治理。新增的聚合仪表板视图展示了组织中不合规的规则。然后,用户可以下钻,查看有关违反规则的资源的详细信息。
\\是一项服务,它持续监控所,并记录作为的各种属性的时点视图。记录下的和可以人工,也可以通过一个支持预定义规则和实现为函数的规则的规则引擎来自动变化。资源变化和评估结果可以到S3存储桶,通过SNS通知或者()CloudWatch事件()进行,从而触发其他AWS服务或用于“合规审计、安全分析、变更管理和运行故障排除”的第三方工具进行分析和响应式修复。
\\AWS Config还会把资源配置变化与由AWS CloudTrail记录的API动作联系起来,可以详细反映出谁在什么时间从哪个IP地址请求修改,这有助于识别操作问题的根本原因,或者用于安全事件取证。
\\虽然一直都可以记录配置项并向其他账户发送通知,但跨区域、跨账户推断合规状态一直以来都非常繁琐,经常需要与第三方供应商集成。现在,AWS跟进日益增多的跨账户使用,在AWS Config控制台中提供了自己的聚合仪表板视图,用户可以下钻,了解组织的违规细节。
\\
图片:AWS Config聚合视图仪表板(来自)
\\AWS Config多账户、多区域数据聚合涉及以下和:
\\- 在期望的目标账户和区域中配置一个;\\t
- 指定,可以单个指定,也可以通过多账户支持()自动指定;\\t
- 指定,或者只是简单地指定全部区域,也可以选择包括未来区域;\\t
- 从源账户所有者向聚合器账户提供,只有当源账户不是AWS Organization的一部分时才需要这样做。\
通常,这些步骤可以通过AWS管理控制台、AWS CLI和进行,使跨大量账户配置AWS Config变得非常简单。虽然从合规管理的角度来看,这是一项显著的简化,但是用户应该知道这可能会带来意外的隐含,这使得AWS社区英雄“一个更好的AWS Config定价方案”:
\\\\\跨当前所有的15个区域在所有28个个人账户中激活单个AWS Config Rule每年的成本超过1万美元。这些账户区域中的绝大多数基本上没什么任务。
\
另据相关消息,AWS Config此后针对较高的使用层级推出了,了可以指定配置项的功能,而且还借助了资源配置和合规变化通知()。
\\还有多种其他的工具可供选择,或者,除了AWS Config Rules之外,还有一些值得一提的解决方案:
\\- Capital One的,“使用户可以定义策略,获得管理完善的云基础设施,并且针对安全和成本进行了优化”;\\t
- Netflix的,“监控AWS和GCP账户的策略变化,并针对不安全的配置发出警告”;\\t
- Toni de la Fuente的,提供“AWS账户安全评估和强化,遵循的原则”。\
AWS自己也提供了和AWS Config特性集存在重叠的其他解决方案,例如,托管威胁检测服务()以及高级支持服务()。
\\与此同时,Microsoft Azure通过其新推出的服务提供了一个功能集类似的合规解决方案,目前,不过现在只是。
\\AWS Config文档包含一份,包括、 和。AWS还提供了和帮助开发人员通过一个“合规即代码(compliance-as-code)”工作流“配置、编写、测试自定义Config规则”。技术支持由提供。提供了更详细的价格信息,有针对每个配置项的一次性收费和针对每条活动规则的月度收费。记录配置快照和历史文件是免费的,所需的存储则根据以使用情况为准。
\\查看英文原文:
转载地址:http://bzwzx.baihongyu.com/