亚马逊的新服务AWSArtifact旨在帮助企业简化合规流程。专家RobShapland讨论了Artifact的潜在安全优势。AWS现在提供一项名为AWSArtifact的新服务,可帮助企业处理合规性问题。合规性必须是企业采用的关键因素,但这项新服务的目的是简化云实例和数据的合规性报告。AWSArtifact可供所有AWS客户免费使用。该服务可通过AWS管理控制台访问,它还提供对特殊文档(审计工件)的访问权限,这些文档可用于证明对不同监管要求的合规性。这包括服务组织控制报告、支付卡行业报告和来自不同认证机构的认证。亚马逊已经允许通过其标准的AWS身份和访问管理系统来控制用户访问权限,这意味着用户可以准确控制谁可以访问AWSArtifacts以及哪些文档可以排队等待访问。每个文档都使用特定的下载水印进行安全处理;此外,亚马逊鼓励用户不要以邮寄等不安全方式发送文件。除此之外,Artifact不会给客户带来任何新的安全风险;所有数据都指向亚马逊,它不直接绑定到存储在您的基础设施上的系统和数据。这只能通过安全的AWS管理控制台访问,这意味着它受益于所有现有的安全控制。AWSArtifact真的能简化合规性吗?清楚地了解此服务如何帮助合规流程非常重要。这并不意味着您可以简单地登录到AWS,下载相关的Artifact文档,将其提交给监管机构并期望它是合规的。这包括操作系统、应用程序、加密、客户数据、身份和访问管理。事实上,证明合规性的绝大部分工作仍然存在于AWS客户端中。在某种程度上,AWSArtifact文件只是提供证据来支持审计人员已经知道的事情——AWS基础设施本身是安全配置的。任何不合规的区域几乎肯定会存在于客户控制的区域中,因此证明合规性仍然是您的责任。这意味着您仍然需要证明,例如,您可以在所有服务器上进行定期修补,并提供强大的身份和访问管理策略。然而,Artifact确实更进一步,它会建议客户如何确定您在合规性方面的责任,这是一个额外的好处。AWSArtifact文档提供了一个有用的资源来证明基础设施层的合规性,并为客户确定合规性责任提供了一些建议。但是,由于绝大多数合规工作需要由客户完成,并且由于采用了责任共担模式,因此您绝对应该了解亚马逊的这项新服务。是的,它很有用,但在证明合规性方面不一定是重大变化。
