当我审计Amazon Web Services (AWS)时 杂志 article 对于第3卷,我刚刚完成了针对AWS环境的第一次审计. 在我审计业务的计划阶段, 我做了尽可能多的研究来确定范围内技术是如何工作的, 如何找到这些配置?我之前的其他人是否已经记录了他们对关键风险因素的发现, 在完成审计计划时,我可以利用的控制和领域. 可悲的是, AWS提供了最容易获得的文档,讨论了如何对其产品执行基本审计,以及应该关注哪些内容, 但是没有别的东西存在了, 至少在我的网络搜索中是这样的.
因为很难找到一个,并且没有无限的时间来查找以前记录的AWS审计程序, 一个必须从头开始开发. 审计程序的主干和本文的灵感来自AWS审计安全检查表(治理)中的特定领域, 网络配置, 等.). 当涉及到文章和审计程序中重点关注的特定控制的选择和讨论时, 这是一个明显的挑战,不是每个人都以相同的方式使用AWS或使用相同的服务,如Cognito或Glacier, 所以两者的重点 article 和 审计程序 是否尽可能保持基本,围绕其核心服务,包括S3, IAM等.
随着文章的深入, 我想简要介绍一下我认为某个特定领域的基本信息,然后详细说明任何容易被忽视的棘手项目,以及为什么它们很重要. 一个典型的例子是IAM root帐户. 没有做一些研究,或者没有以某种方式提出问题, 审计人员可能不知道这个超级用户帐户的存在以及目前存在的保护它的限制.
找到我的同伴 杂志 篇文章, AWS审核计划,可在ISACA网站查阅.
读一读Adam Kohnke最近的文章 杂志 文章:
“审计亚马逊Web服务,” ISACA杂志, 2019年第3卷.
