개요
이 솔루션은 AWS 워크로드를 관리하는 클라우드 보안 조치에 의해 발행된 증거를 변조 불가능한 영속적인 증거 기록으로 중앙에 저장하는 메커니즘을 제공합니다. 저장된 조치 증거는 나중에 보안 준수 평가 메커니즘, 배포 의사 결정, 감사 프로세스에서 활용될 수 있습니다.
증거 기록은 시스템 또는 인간에 의해 생성되는 사실 기록 관련 디지털 기록이며 하나 이상의 대상 엔터티와 관련되고 증거 제공업체에 의해 발행됩니다.
참고: AWS는 규정 준수 또는 규제와 관련된 자문을 제공하지 않습니다. Verifiable Controls Evidence Store가 감사, 규정 준수, 규제 요구 사항 충족 목적을 비롯한 사용 사례에 적합한지 여부는 고객이 독립적으로 평가해야 합니다.
새로운 소식
S3 버킷 세트를 모니터링하고 새 객체가 이러한 버킷에 추가될 때 증거를 생성할 수 있는 새로운(선택 사항) S3 증거 수집기가 추가되었습니다.
자세한 내용은 개정 페이지를 참조하세요.
이점
증거를 거의 실시간으로 저장하고 검색합니다. 배포 의사 결정을 돕기 위해 소프트웨어 릴리스가 규정 준수 요구 사항에 부합하는지 결정하거나, 임시 감사 또는 조사를 돕기 위해 예전의 증거에 액세스할 목적으로 증거 기록을 쿼리합니다.
다양한 데이터 형식으로 AWS, 서드 파티, 제공업체와 사용자 지정, 시스템 또는 인간 증거 제공업체를 온보딩합니다. 사용자 지정 스키마를 통해 여러 가지 증거 유형을 지원합니다. 애플리케이션 릴리스 또는 배포 환경 등 사용자의 환경에 대해 정의된 대상 엔터티에 관한 증거 기록의 상관 관계를 분석합니다.
웹 애플리케이션 및/또는 API를 통해 상호 작용하여 증거를 관리하고 증거 제공 업체를 온보딩합니다. 모든 작업 및 태스크가 두 인터페이스 모두에서 지원됩니다.
저장된 증거 기록의 데이터 무결성을 검증합니다. 이 솔루션은 Amazon Quantum Ledger Database(QLDB)를 사용해 불변성을 보장하고 증거의 암호화 검증을 지원합니다.
기술 세부 정보
구현 가이드를 사용하여 이 아키텍처를 자동으로 배포할 수 있습니다.
1단계
AWS Cloud Development Kit(CDK) 코드로 선택적 UI 역할을 할 Amazon CloudFront 배포를 배포합니다. CloudFront는 짧은 지연 시간, 고성능 및 안전한 정적 웹 호스팅을 제공합니다. Amazon Simple Storage Service(S3) 웹 UI 버킷은 정적 웹 애플리케이션 아티팩트를 호스트합니다.
2단계
포괄적 구성 없이도 고객에게 빠르고 편리한 인증 메커니즘을 제공하여 솔루션의 기능을 탐색할 수 있도록 하는 Amazon Cognito 사용자 풀
3단계
RESTful API 세트를 노출하기 위한 Amazon API Gateway API Gateway는 증거 저장소 소비자에 의해 발행된 HTTP 요청을 처리합니다. 요청의 자격 증명(서명 및 API 키)을 AWS Identity and Access Management(IAM) 및 해당 API 사용 플랜에 대해 검증하여 인증 및 권한 부여 워크플로를 오케스트레이션합니다.
4단계
API Gateway에서의 검증된 요청을 처리하기 위한 증거 저장소 AWS Lambda 함수. 이 Lambda 함수는 API Gateway를 통해 사용자로부터 REST 요청을 수신하고, 검증하고, 다양한 데이터베이스에서 저장 및 검색하는 솔루션 관련 비즈니스 로직을 캡슐화합니다.
5단계
증거 기록을 추적 및 저장하는 Amazon Quantum Ledger Database(Amazon QLDB). Amazon QLDB는 증거 기록의 불변성과 암호화 검증 속성을 보장합니다. 증거 기록의 콘텐츠는 Amazon S3에 저장되며 그 해시 값은 Amazon QLDB에 보관됩니다.
6단계
증거 제공 업체 및 개별 증거 콘텐츠 스키마를 저장하는 Amazon DynamoDB. 요청 처리 Lambda 함수는 Amazon QLDB 원장에 커밋하기 전에 이 데이터에 의존하여 증거 콘텐츠를 검증합니다.
7단계
전체 증거 기록 데이터 구조에서의 고급 쿼리 기능(전체 텍스트 검색)을 제공하는 Amazon OpenSearch Service에 증거 기록을 복제하기 위한 Lambda 함수 처리 스트림
8단계
소비자에게 더 나은 쿼리 경험을 제공하도록 OpenSearch Service에 기록을 복제하는 Amazon Kinesis Data Streams. Amazon Kinesis는 이 솔루션이 거의 실시간으로 증거 기록을 복제 및 아카이빙하기 위한 채널을 제공합니다.
9단계
S3 버킷에 증거 기록을 아카이빙하는 Amazon Kinesis Data Firehose
10단계
로깅 및 모니터링용 Amazon CloudWatch 및 AWS X-Ray
11단계
조사 결과를 Amazon EventBridge에 게시하는 AWS Config 및 AWS Security Hub
12단계
AWS Config 및 Security Hub 증거 수집기에 속도 제한 기능을 제공하는 Amazon Simple Queue Service(Amazon SQS)
13단계
Create Evidence API를 간접적으로 호출하여 조사 결과를 기록하기 위한 증거 수집기 Lambda 함수. 여기에는 Security Hub 증거 수집기 및 S3 증거 수집기가 포함됩니다.
1단계
AWS Cloud Development Kit(CDK) 코드로 선택적 UI 역할을 할 Amazon CloudFront 배포를 배포합니다. CloudFront는 짧은 지연 시간, 고성능 및 안전한 정적 웹 호스팅을 제공합니다. Amazon Simple Storage Service(S3) 웹 UI 버킷은 정적 웹 애플리케이션 아티팩트를 호스트합니다.
2단계
포괄적 구성 없이도 고객에게 빠르고 편리한 인증 메커니즘을 제공하여 솔루션의 기능을 탐색할 수 있도록 하는 Amazon Cognito 사용자 풀
3단계
RESTful API 세트를 노출하기 위한 Amazon API Gateway API Gateway는 증거 저장소 소비자에 의해 발행된 HTTP 요청을 처리합니다. 요청의 자격 증명(서명 및 API 키)을 AWS Identity and Access Management(IAM) 및 해당 API 사용 플랜에 대해 검증하여 인증 및 권한 부여 워크플로를 오케스트레이션합니다.
4단계
API Gateway에서의 검증된 요청을 처리하기 위한 증거 저장소 AWS Lambda 함수. 이 Lambda 함수는 API Gateway를 통해 사용자로부터 REST 요청을 수신하고, 검증하고, 다양한 데이터베이스에서 저장 및 검색하는 솔루션 관련 비즈니스 로직을 캡슐화합니다.
5단계
증거 기록을 추적 및 저장하는 Amazon Quantum Ledger Database(Amazon QLDB). Amazon QLDB는 증거 기록의 불변성과 암호화 검증 속성을 보장합니다. 증거 기록의 콘텐츠는 Amazon S3에 저장되며 그 해시 값은 Amazon QLDB에 보관됩니다.
6단계
증거 제공 업체 및 개별 증거 콘텐츠 스키마를 저장하는 Amazon DynamoDB. 요청 처리 Lambda 함수는 Amazon QLDB 원장에 커밋하기 전에 이 데이터에 의존하여 증거 콘텐츠를 검증합니다.
7단계
전체 증거 기록 데이터 구조에서의 고급 쿼리 기능(전체 텍스트 검색)을 제공하는 Amazon OpenSearch Service에 증거 기록을 복제하기 위한 Lambda 함수 처리 스트림
8단계
소비자에게 더 나은 쿼리 경험을 제공하도록 OpenSearch Service에 기록을 복제하는 Amazon Kinesis Data Streams. Amazon Kinesis는 이 솔루션이 거의 실시간으로 증거 기록을 복제 및 아카이빙하기 위한 채널을 제공합니다.
9단계
S3 버킷에 증거 기록을 아카이빙하는 Amazon Kinesis Data Firehose
10단계
로깅 및 모니터링용 Amazon CloudWatch 및 AWS X-Ray
11단계
조사 결과를 Amazon EventBridge에 게시하는 AWS Config 및 AWS Security Hub
12단계
AWS Config 및 Security Hub 증거 수집기에 속도 제한 기능을 제공하는 Amazon Simple Queue Service(Amazon SQS)
13단계
Create Evidence API를 간접적으로 호출하여 조사 결과를 기록하기 위한 증거 수집기 Lambda 함수. 여기에는 Security Hub 증거 수집기 및 S3 증거 수집기가 포함됩니다.