SCS-C02 情境下的合規稽核是什麼?
AWS 上的合規稽核是一套有系統、以證據為支撐的流程,用來證明每一個運行中的資源都符合組織所接受的規範——無論這些規範來自外部監管機構(PCI DSS、HIPAA、FedRAMP、NIST SP 800-53)或內部政策。SCS-C02 將合規稽核視為 Domain 6 的核心能力,由四根支柱構成:透過 AWS Config 持續評估組態、透過 AWS Audit Manager 彙整證據、透過 Amazon Macie 探索敏感資料,以及透過 AWS Security Hub 整合發現。Domain 6 的 Task 6.3 與 Task 6.4 也納入成本面的稽核訊號,分別透過 Cost Explorer 與 Cost Anomaly Detection 實現——因為非預期的資源費用是資安事件的早期警訊。
合規稽核在 AWS 上從不是一次性的掃描,而是一個持續的循環:AWS Config 記錄每一次組態變更,conformance pack 將完整的合規框架編碼,Audit Manager 以週期性節奏收集證據,Security Hub 跨服務關聯發現。考試要求你知道哪個合規稽核服務產出哪種證物、合規稽核聚合器如何延伸至整個 AWS Organization 的範圍,以及合規稽核如何透過 SSM Automation 文件回饋到修復流程。
理解合規稽核到這個深度非常重要,因為 SCS-C02 題目幾乎從不孤立地問「AWS Config 是什麼」,而是問在特定情境下應該將哪個服務組合使用。當題目問的是持續組態評估,卻在答案中提到 Audit Manager,那就是錯的;當題目問的是監管機構可接受的證據包,卻在答案中提到 Config,同樣是錯的。以下的分類架構能讓你快速排除干擾選項。
對 AWS 資源組態與資料處理方式的持續性、有據可查的評估,對照定義的控制集執行,由 AWS Config(狀態記錄)、Audit Manager(證據彙整)、Macie(資料分類)與 Security Hub(整合發現)共同執行。所需的範圍、頻率及證據形式因框架而異(PCI DSS、HIPAA、FedRAMP、ISO 27001、SOC 2)。 AWS Compliance overview
為何合規稽核是獨立的 Domain 6 技能
合規稽核需要獨立的 Task Statement,因為其技能與威脅偵測(Domain 1)或資料保護(Domain 5)截然不同。合規稽核關注的是可舉證性,而非預防。就算在一個完全安全的環境上執行合規稽核,只要無法提出帶時間戳記的證據,稽核仍會失敗。考試測試的是:你能否挑出能為稽核人員產出正確種類合規證物的服務。
Task 6.3 與 Task 6.4 如何對應真實服務
Task 6.3 涵蓋資料分類(Macie)、Config 規則的不合規偵測,以及透過 Security Hub 加 Audit Manager 的證據收集。Task 6.4 涵蓋成本異常識別、攻擊面縮減,以及 Well-Architected Tool 安全支柱審查。
合規稽核服務對照速查表
| 合規稽核目標 | 主要服務 | 次要服務 | 證物類型 |
|---|---|---|---|
| 資源組態偏移 | AWS Config | Config aggregator | Config 快照、時間軸 |
| 規則集部署 | Conformance pack | Organizations StackSet | Pack 部署狀態 |
| 監管機構可接受的證據 | AWS Audit Manager | Config + CloudTrail + Security Hub | Assessment report ZIP |
| 敏感資料探索 | Amazon Macie | S3 + EventBridge | Macie finding(PII 類別) |
| 跨服務發現中心 | AWS Security Hub | GuardDuty、Inspector、Macie、Config | ASFF finding、automation rule |
| 最佳實踐快速檢查 | AWS Trusted Advisor | Support API | 檢查狀態(紅/黃/綠) |
| 成本面安全訊號 | Cost Anomaly Detection | Cost Explorer | 異常警報含根因分析 |
| 架構審查 | Well-Architected Tool | Custom lens | Workload milestone、改善計畫 |
這張速查表是合規稽核的備忘清單。請熟記「證物類型」那欄,因為考試常把答案藏在「你必須交給外部稽核人員什麼東西」這個問題裡。
白話文解釋 合規稽核
類比一:熱炒店廚房的衛生稽查
把合規稽核想像成衛生局突擊檢查一家熱炒店。AWS Config 是師傅每小時記錄的冰箱溫度本——每次食材進出都留下時間戳記。Conformance pack 是衛生局帶來的標準查核表,包含「冷藏低於 7°C、洗手台正常出水、無過期食材」等項目。Audit Manager 是掛在收銀台旁的厚重資料夾,裡面整齊地放著歷次照片、簽名查核表和溫度記錄。Macie 是食安稽查員,走遍廚房把每個標示「生雞肉」的容器貼上標籤,確保它絕不會碰到沙拉區。
只在稽查當天才執行查核的店家必敗,因為沒有歷史證據。連續六個月每小時記錄溫度的店家輕鬆通關。AWS 上的合規稽核也一樣:持續稽核永遠勝過單點掃描。
類比二:銀行金庫的每日盤點
合規稽核就像銀行金庫每日盤點。AWS Config 是行員的點鈔機,每次金庫開關都留有記錄。Audit Manager 是依法規格式裝訂好的月結對帳包,備妥等待中央銀行稽查員翻閱。Macie 是專門掃描「是否有未申報的現鈔隱藏在文件堆裡」的金屬探測器。Security Hub 是分行主管的桌面儀表板,匯集所有發現,幫他決定哪件事最優先處理。
若稽查員突然出現並要求「立刻出示合規部位」,你不會臨時開始整理帳冊;你從抽屜裡拿出 Audit Manager 整個季度默默編纂好的資料夾。沒有那個資料夾,即使金庫分毫不差,在稽查員眼裡也是一個沒有準備的行員。
類比三:瑞士刀的分工哲學
合規稽核工具箱就像一把瑞士刀,每把刀片只做一件事。AWS Config 是螺絲起子,檢查每顆螺絲(資源)是否鬆動。Audit Manager 是標示好的工具托盤,依框架(HIPAA、PCI、FedRAMP)分類存放每顆螺絲的狀態。Macie 是金屬探測器,找出你遺忘埋在牆壁(S3 bucket)裡的隱藏螺栓(PII)。Security Hub 是工作台,把每把刀片的發現攤開,讓你決定先修哪一個。
初學者的錯誤是用一把刀片包辦所有工作。你無法用 Config 產出 HIPAA 證據資料夾,也無法用 Audit Manager 修復設定錯誤的安全群組。合規稽核的瑞士刀只有在你為正確的切割選對刀片時才能發揮作用。
AWS Config 合規稽核深入解析
AWS Config 是 AWS 上大多數合規稽核工作流的基礎。Config 持續記錄你啟用它的每個區域中每個支援資源的組態狀態。每次變更都會產生一個 configuration item(CI),Config 再把該 CI 對照規則進行評估。Config 規則是 AWS 上合規稽核邏輯的最小單位。
在你每個區域(或若合規框架要求,則全球每個區域)啟用 Config 錄製。SCS-C02 常見陷阱:題目說「Config 已啟用」,但悄悄地只提到一個區域。若資源存在於未錄製的區域,Config 不會產出任何合規稽核證據,conformance pack 也會錯誤回報綠燈。請在整個 AWS Organization 使用 Config aggregator 以實現規模化的合規稽核。 AWS Config recording
受管規則 vs 自訂 Lambda 規則
AWS 發布了 270+ 條受管 Config 規則,涵蓋 s3-bucket-public-read-prohibited、iam-password-policy、rds-storage-encrypted、restricted-ssh 等常見模式。受管規則是任何合規稽核基準的第一站,因為它們有版本鎖定、由 AWS 維護,且呼叫免費(只需支付每次評估費率)。
自訂 Config 規則在 AWS Lambda 上執行。合規稽核邏輯寫在你的 Lambda 函式中,接收 CI 作為輸入並回傳 COMPLIANT、NON_COMPLIANT 或 NOT_APPLICABLE。自訂規則也支援以 Guard DSL 撰寫的 AWS Config Custom Policy 規則(不需要 Lambda),考試現在將其列為現代替代方案。
Config Aggregator 的多帳號合規稽核
Config aggregator 將多個帳號和區域的合規稽核資料收集到一個檢視介面。Aggregator 支援兩種來源類型:個別帳號清單,或完整的 AWS Organization。Organization 來源是推薦模式,因為它會在新帳號加入時自動探索。Aggregator 是唯讀的;它不會推送規則。若要在整個 Organization 部署規則,需使用帶有 Organization 部署選項的 conformance pack。
進階查詢產出自訂合規稽核報告
Config Advanced Queries 使用類 SQL 語法查詢跨帳號和區域的 CI。一份如「整個 organization 中所有公開 S3 bucket,依帳號分組」的合規稽核報告,只需一條 Advanced Query 即可完成。查詢結果可直接饋入面向稽核人員的儀表板。
透過 SSM Automation 的 Config 自動修復
沒有修復的合規稽核只是做樣子。Config 與 AWS Systems Manager Automation 文件整合,可自動或依需求修復不合規資源。你為規則附加修復動作,選擇自動或手動,設定重試次數,當規則轉換為 NON_COMPLIANT 時 Config 即呼叫 SSM 文件。
前一個月將新的合規稽核修復動作設定為手動,讓你能在 SSM 批量修改前,先審視 Config 標記了哪些資源。一旦確信規則無誤,再切換為自動,並將重試次數設為 3 以應對暫時性失敗。考試常測試這個區別。 Remediating non-compliant resources
Conformance Pack 的合規稽核編碼
Conformance pack 是 AWS 原生的方式,以程式碼部署完整的合規稽核框架。Pack 是一個 YAML 或 JSON 範本,將 Config 規則加上可選修復動作打包為一個單元。AWS 發布了針對 CIS、PCI DSS、NIST 800-53、HIPAA、FedRAMP、ISO 27001、AWS Foundational Best Practices 等的預建 conformance pack。
Organization 層級的 Pack 部署
在規模化合規稽核中,你從管理帳號或委派管理員帳號一次部署 conformance pack 至 Organization 層級,Config 再將 pack 複製到每個成員帳號。Pack 範本的更新會自動傳播。這是 SCS-C02 所期望的多帳號合規稽核模式。
自訂 Conformance Pack
你可以自行撰寫 conformance pack,將內部合規稽核政策編碼其中。Pack 範本可引用受管規則、自訂 Lambda 規則,以及修復用的 SSM 文件。將 YAML 版本控制在 git 中,讓合規稽核基準本身也具備可稽核的端到端記錄。
- Conformance pack = 一組 Config 規則 + 可選 SSM 修復,部署為一個單元。
- Organization 層級部署要求每個成員帳號都已啟用 Config 錄製。
- 預建 pack 涵蓋 CIS、PCI DSS、HIPAA、NIST 800-53、FedRAMP、AWS FSBP、ISO 27001。
- Pack 合規分數 = 通過 pack 中所有規則的資源百分比。
- Pack 範本為 YAML/JSON;存入 git 以確保合規稽核可追溯性。 Conformance pack documentation
AWS Audit Manager 的證據驅動合規稽核
AWS Audit Manager 是產出稽核人員可接受證據包的合規稽核服務。Audit Manager 透過查詢 AWS Config、AWS CloudTrail、AWS Security Hub 及資源 API 持續收集證據,並將每份證據映射至框架中的某個控制項。
框架與自訂框架
Audit Manager 內建 35+ 個預建框架:PCI DSS v3.2.1、HIPAA、FedRAMP Moderate、GDPR、SOC 2、NIST SP 800-53、AWS Foundational Best Practices。你也可以從 Audit Manager 控制項庫中挑選控制項,或撰寫包含手動證據提示的自訂控制項,來建立自訂框架。
Assessment 與證據收集
Assessment 是一個範圍限定在特定帳號與特定框架的執行中合規稽核實例。Audit Manager 將證據分為四類:
- 來自 AWS Config 的組態資料(資源狀態)。
- 來自 CloudTrail 的使用者活動(誰在何時做了什麼)。
- 來自 Security Hub 的合規檢查(控制項失敗發現)。
- 手動證據(上傳的螢幕截圖、文件、書面聲明)。
證據自動收集並依控制項彙整。稽核視窗關閉後,Audit Manager 為每個控制項集產出一個 ZIP 格式的證據包,供外部稽核人員使用。
Audit Manager 不設定資源、不執行政策、不偵測威脅。其唯一的合規稽核角色是證據彙整與報告。若題目問如何防止控制項違規,Audit Manager 是錯的;答案是 Config 規則、SCP 或 Security Hub 控制項。若題目問如何向監管機構證明合規,Audit Manager 才是正確答案。 Audit Manager concepts
委派審查者工作流程
Audit Manager 支援委派審查者模式,讓合規稽核負責人可將特定控制項集指派給主題專家(SME),在最終報告產出前由其審閱並批注證據。這讓合規稽核團隊保持精簡,同時分散審查工作。
Amazon Macie 的資料分類合規稽核
Amazon Macie 是資料分類方面的合規稽核服務。Macie 掃描 S3 bucket,使用受管資料識別符(60+ 個預建模式,涵蓋信用卡號、SSN、護照號碼、OAuth token、AWS access key、醫療代碼)以及自訂資料識別符(你自己的 regex 加關鍵字組合)。
自動探索 vs 敏感資料探索任務
Macie 有兩種掃描模式,考試很喜歡比較:
- 自動敏感資料探索 — Macie 使用統計抽樣持續對帳號中所有 S3 bucket 的物件進行採樣。成本低、覆蓋廣,每個 bucket 有持續更新的敏感度分數。
- 敏感資料探索任務 — 使用者設定的一次性或定期深度掃描,針對特定 bucket 和前綴。成本較高、全物件分析、細粒度發現。用於合規稽核認證特定資料集。
SCS-C02 常見陷阱:情境描述 RDS Postgres 資料庫中有 PII,並把 Macie 列為選項。Macie 只操作 S3 物件。對於非 S3 的儲存體,你需要其他合規稽核工具:在 Glue Data Catalog 中為欄位打標籤、撰寫自訂 Lambda 把資料樣本拉到 S3,或使用第三方 DLP 產品。為非 S3 來源選擇 Macie 是排除錯誤答案的標準訊號。 Macie supported sources
自訂資料識別符
自訂資料識別符(CDI)讓你為 Macie 未預設涵蓋的內部合規稽核類別編碼——員工 ID 格式、內部客戶 ID、專有產品代碼。CDI 結合 regex、可選關鍵字、最大匹配距離以及嚴重性等級。CDI 在自動探索和探索任務中都可使用。
與 Security Hub 的整合
Macie 發現透過 AWS Security Finding Format(ASFF)流入 Security Hub。每個 Macie 發現描述 bucket、物件鍵、偵測到的敏感類別,以及出現次數。Security Hub automation rule 可路由發現——例如,當嚴重性為 HIGH 且 bucket 缺少加密時,自動開立 ServiceNow 工單。
Security Hub 標準的持續合規稽核
AWS Security Hub 是合規稽核聚合器。Security Hub 集中 GuardDuty、Inspector、Macie、IAM Access Analyzer、Config 及合作夥伴整合的發現,並執行自己的控制項,組織成合規稽核標準。
四大主要標準
- AWS Foundational Security Best Practices(FSBP) — AWS 基準;約 280 個控制項,涵蓋從 EC2 到 KMS 的服務。新 Security Hub 帳號的預設標準。
- CIS AWS Foundations Benchmark — 社群驅動;v1.4.0 與 v3.0.0 是 Security Hub 目前的版本。
- PCI DSS — 支付卡產業;控制項範圍限於 PCI 適用資源。
- NIST SP 800-53 Rev 5 — 美國聯邦基準;控制項目錄龐大。
你可以在每個帳號啟用任意組合。每個標準是一組精選的 Config 規則加上 Security Hub 原生控制項。合規稽核分數(0-100%)依通過/未通過的控制項按標準計算。
停用控制項
某些合規稽核控制項對特定架構並不適用(例如要求在你未使用的區域啟用 CloudTrail 的控制項)。Security Hub 讓你按帳號或整個 Organization 停用控制項。停用某個控制項後,它會從分數計算中移除。
Security Hub central configuration(2023 年發布)讓你定義單一組態政策並傳播到 AWS Organization 中的每個帳號。若沒有 central configuration,每個新帳號都需要手動啟用標準,導致整個 org 的合規稽核偏移。務必將 central configuration 與 Config aggregator 搭配使用,以達到統一覆蓋。 Security Hub central configuration
Automation Rules
Security Hub automation rule(同樣於 2023 年發布)讓你自動修改發現。常見的合規稽核模式:
- 抑制標記了
BusinessJustified=true的發現。 - 當 Macie 發現影響公開 bucket 時,將嚴重性提升至 CRITICAL。
- 依資源標籤自動將發現指派給安全團隊。
Automation rule 在發現到達 EventBridge 之前,就在 Security Hub 內部執行,因此下游消費者看到的是已修改過的發現。
Trusted Advisor 的輕量合規稽核檢查
AWS Trusted Advisor 是最初的輕量合規稽核工具。Trusted Advisor 跨五個類別執行:成本優化、效能、安全、容錯,以及服務限制。
安全檢查
Trusted Advisor 的安全檢查(Business 或 Enterprise Support 方案才能取得完整集合)涵蓋:
- IAM 使用情況(root 帳號 access key、root 帳號 MFA、密碼政策)。
- S3 bucket 公開存取權限。
- 具有無限制入站規則的安全群組(常見連接埠上的 0.0.0.0/0)。
- ELB 監聽器安全性。
- 公開快照(RDS、EBS)。
- 外洩的 Access Key(掃描 GitHub)。
- CloudTrail 日誌是否啟用。
Trusted Advisor 的安全檢查與 Security Hub FSBP 有重疊,但 Trusted Advisor 不是合規稽核報告工具——它不產出 ASFF 發現、不提供每控制項的合規稽核分數、也不產出證據包。使用 Trusted Advisor 做快速抽查;使用 Security Hub 做持續合規稽核;使用 Audit Manager 做證據。 Trusted Advisor checks reference
識別未使用的資源
Task 6.4 明確點出未使用資源的識別。Trusted Advisor 檢查:
- 閒置的 Load Balancer(請求量低)。
- 低利用率的 EC2 執行個體(CPU 和網路使用率低)。
- 未關聯的 Elastic IP。
- 閒置的 RDS DB 執行個體。
- 低利用率的 EBS Volume。
將 Trusted Advisor 的未使用資源視圖與 Cost Explorer 結合,來估算合規稽核的攻擊面大小——每個未使用的資源都是一扇無人看守的門。
Cost Explorer 與 Cost Anomaly Detection 作為安全訊號
成本面的合規稽核是 Task 6.4 的殺手概念。非預期的費用飆升是憑證遭入侵、加密貨幣挖礦或資料外洩的早期警訊。
Cost Anomaly Detection
Cost Anomaly Detection 使用機器學習為每個服務、帳號或成本類別建立正常費用基準,並在費用超出閾值時發出警報。你可設定:
- 監控類型 — AWS 服務、連結帳號、成本類別或成本分配標籤。
- 警報閾值 — 絕對 USD 金額或百分比偏差。
- 通知管道 — SNS topic 或 email。
典型的合規稽核模式:在 Amazon EC2 上設定按連結帳號的監控,閾值 $500,SNS 通知安全團隊。費用超過基準的飆升通常與 GuardDuty 發現相關聯(例如 CryptoCurrency:EC2/BitcoinTool.B!DNS)。
SCS-C02 考試特別測試以成本角度思考安全的能力。在 UTC 凌晨三點於 us-east-2 出現 10 倍 EC2 費用飆升,搭配 UnauthorizedAccess:EC2/RDPBruteForce,是典型的入侵訊號。務必將 Cost Anomaly Detection 警報與 GuardDuty 一起納入你的安全事件回應 Runbook。
Cost Anomaly Detection setup
Cost Explorer 作為鑑識工具
警報觸發後,Cost Explorer 是鑑識工具。依服務、區域、執行個體類型或標籤分組,找出確切造成費用飆升的資源。搭配 aws ec2 describe-instances 在隔離前擷取執行個體元資料。
Well-Architected Tool 的架構合規稽核審查
AWS Well-Architected Tool 將 Well-Architected Framework 的六大支柱轉化為結構化的合規稽核問卷。SCS-C02 的重點在安全支柱。
Workload、Lens、Milestone 概念
- Workload — 你正在審查的系統(例如「customer-portal-prod」)。
- Lens — 支柱或領域框架(預設 = AWS Well-Architected,另加你發布的自訂 lens)。
- Milestone — 答案的具名快照,用於追蹤隨時間的改善進度。
- Improvement plan — 自動產出的修復建議,附 AWS 文件連結。
典型的合規稽核審查節奏:每季進行一次 workload 審查,每次審查結束時建立一個 milestone,improvement plan 項目作為 JIRA 工單追蹤。
自訂 Lens
你可以發布一個自訂 lens,將內部合規稽核政策編碼其中(例如「公司安全 Lens」包含公司特定問題)。自訂 lens 在審查 UI 中與 AWS lens 並排顯示。可在整個 AWS Organization 共享自訂 lens。
安全支柱問題類別
安全支柱將七項設計原則濃縮為問題群組:身份與存取管理、偵測、基礎設施保護、資料保護(傳輸中與靜態)、事件回應、應用程式安全,以及威脅建模。每個問題都對應 AWS 服務建議。
架構審查合規稽核檢查清單
在架構審查中將合規稽核付諸實踐,意味著在簽核前逐項確認以下清單:
- 入口 — 所有公開端點置於 WAF 之後,高價值資產使用 Shield Advanced,安全群組最小權限。
- 出口 — AWS 服務使用 VPC endpoint,NAT 管控的網際網路出口,DNS Firewall 封鎖已知惡意網域。
- 身份 — IAM role、無長期 access key、啟用 IAM Access Analyzer、人員存取使用 IAM Identity Center。
- 加密 — 所有資料存儲使用 KMS CMK(建議客戶管理),傳輸中使用 TLS 1.2+,憑證生命週期使用 ACM。
- 監控 — CloudTrail org trail 傳至中央帳號、Config aggregator、Security Hub central configuration、每個區域啟用 GuardDuty。
- IR 就緒 — Runbook、隔離的鑑識帳號、EC2 Image Builder 重建黃金 AMI、S3 Object Lock 保存證據。
- 攻擊面 — 每月 Trusted Advisor「未使用」掃描、IAM Access Analyzer 發現已關閉、Network Access Analyzer 發現已審查。
縮減攻擊面的策略(Task 6.4 重點)
縮減攻擊面是 Task 6.4 內部獨立的合規稽核子領域。考試反覆測試這些模式:
規模化最小權限 IAM
- 使用 IAM Access Analyzer policy generation,根據 90 天 CloudTrail 活動觀察撰寫最小權限政策。
- 使用 IAM Access Analyzer external access findings,識別與 AWS Organization 外部帳號共享的資源。
- 使用 IAM Access Analyzer unused access(2023 年發布),識別 90 天未使用的 role、使用者和權限。
縮小爆炸半徑
- 一個工作負載一個 AWS 帳號(條件允許時)(Control Tower 帳號自動化)。
- 在 OU 層級使用 SCP 禁止工作負載不需要的服務。
- VPC endpoint policy 限制 VPC 可存取的 bucket、queue 和 table。
- KMS key policy 限制哪些 role 可以解密。
自動化修補與硬化
- Systems Manager Patch Manager 搭配維護視窗。
- EC2 Image Builder pipeline,從 CIS 基準的基礎映像產出硬化的 AMI。
- Inspector 持續掃描,找出 EC2、ECR 和 Lambda 中的 CVE。
- 透過 Access Analyzer policy generation 實現最小權限 IAM。
- 透過單一工作負載帳號 + SCP + VPC endpoint policy 縮小爆炸半徑。
- 透過 Inspector 持續掃描 EC2、ECR、Lambda 中的 CVE。
- 透過 SSM Patch Manager 維護視窗實現自動化修補節奏。
- 透過 EC2 Image Builder + CIS 基礎映像產出硬化的黃金映像。 AWS Well-Architected Security Pillar
合規稽核常見考試陷阱
合規稽核主題充斥著似是而非的答案選項。以下陷阱是 SCS-C02 最常見的干擾選項。
陷阱:「Audit Manager 會修復問題」
Audit Manager 只收集證據,不執行修復。注意暗示 Audit Manager 會「自動修復」任何事情的答案——那在定義上就是錯的。
陷阱:「Macie 掃描整個 AWS 環境」
Macie 只針對 S3。任何暗示 Macie 掃描 EBS Volume、RDS 資料庫、DynamoDB 資料表或 EFS 檔案系統的答案都是錯的。
陷阱:「Config 規則會封鎖資源建立」
Config 在資源存在後才評估;它不阻止建立。預防性控制在 IAM 政策、SCP 和資源政策中實現。若題目問如何防止建立不合規資源,Config 是錯的答案;答案是 SCP 或 permission boundary。
陷阱:「Security Hub 控制項會自動修復」
Security Hub 產出發現,不執行修復。自動修復需要 EventBridge → Lambda 或 EventBridge → Systems Manager Automation。宣稱 Security Hub 本身會修復的答案都是錯的。
陷阱:「Trusted Advisor 產出合規稽核報告」
Trusted Advisor 輸出的是檢查狀態,不是對齊框架的合規稽核報告。對於 PCI/HIPAA/FedRAMP 的證據包,你需要 Audit Manager。
Conformance pack 與 Security Hub 標準可以打包相同的 Config 規則。合規稽核上的差異:conformance pack 是 Config 原生的,產出 pack 層級的合規分數;Security Hub 標準產出 ASFF 格式的每控制項發現,可供 Audit Manager 和下游自動化使用。對於 SCS-C02,當情境強調集中發現或多來源聚合時,偏向選 Security Hub 標準;當情境強調 Config 原生部署或每資源 pack 分數時,偏向選 conformance pack。 Conformance pack vs Security Hub
合規稽核 vs 威脅偵測——選擇正確的服務
合規稽核與威脅偵測共用服務(GuardDuty 發現出現在 Security Hub 中,再饋入 Audit Manager),但回答的是不同的問題。
| 問題 | 服務類別 | 主要工具 |
|---|---|---|
| 這個資源的設定正確嗎? | 合規稽核 | AWS Config |
| 有人做了惡意的事嗎? | 威脅偵測 | GuardDuty + CloudTrail |
| 我能向監管機構證明合規嗎? | 合規稽核 | Audit Manager |
| 敏感資料放在哪裡? | 合規稽核(資料面) | Macie |
| 目前有正在進行的入侵嗎? | 威脅偵測 | GuardDuty + Detective |
| 我的架構符合最佳實踐嗎? | 合規稽核(架構面) | Well-Architected Tool |
考試常把合規稽核題偽裝成威脅偵測情境,反之亦然。仔細讀動詞:「評估」、「稽核」、「審查」→ 合規稽核;「偵測」、「調查」、「回應」→ 威脅偵測。
必記的合規稽核參考數字
- AWS Config 受管規則數量:270+
- Audit Manager 預建框架數量:35+
- Macie 受管資料識別符:60+ 敏感類別
- Security Hub FSBP 控制項:約 280 個
- Security Hub CIS v3.0.0 控制項:約 50 個
- Security Hub PCI DSS 控制項:約 40 個
- Trusted Advisor 檢查數量:約 115 個(Business/Enterprise Support 方案)
- Cost Anomaly Detection 最短學習期:約 10 天
- Audit Manager 證據保留期:S3 預設 2 年
- Config 規則評估費用:每次評估 $0.001 AWS Config pricing
合規稽核常見問題
AWS Config 多久評估一次資源的合規狀態?
Config 根據組態變更(事件驅動、近即時)和週期性排程(24 小時、12、6、3 或 1 小時,視規則觸發設定而定)評估資源。對於持續合規稽核,凡規則支援的地方皆選擇 configuration-change 觸發;對於以時間為基礎的稽核(如密碼政策合規),週期性 24 小時是標準。參見 Config rule trigger types。
Audit Manager 能取代 AWS Config 做合規稽核嗎?
不能。Audit Manager 使用 Config 的證據;它不取代 Config。沒有 Config,Audit Manager 的「組態資料」證據類別會是空的,assessment 無法填充資料。合規稽核模式永遠是:Config 記錄狀態,Audit Manager 封裝證據。Audit Manager 也從 CloudTrail、Security Hub 和資源 API 拉取資料,但 Config 是組態控制項的最大單一來源。
啟用所有 Security Hub 標準能得到最強的合規稽核嗎?
只啟用符合你實際監管框架的標準,加上 AWS Foundational Best Practices(FSBP)作為基準。在每個帳號中啟用全部四個標準會觸發控制項重疊並增加雜訊。當標準與實際義務對齊時,合規稽核的訊噪比才會提升。使用 central configuration 對每個 OU 套用不同的標準組合(例如,只在持卡人資料 OU 啟用 PCI 標準)。
Macie 在 PB 規模下的合規稽核如何計費?
Macie 計費有兩個組成部分:bucket 評估(每個 bucket 每月,自動探索層)和物件檢查(每 GB 掃描)。在 PB 規模下,自動敏感資料探索(統計抽樣)可讓成本保持可預測;對 PB 級資料執行完整探索任務費用高昂。最佳實踐:持續執行自動探索,只在自動探索標記高敏感度分數的 bucket 上才觸發探索任務。參見 Macie pricing page 取得最新費率。
Audit Manager 為外部稽核人員產出什麼證據?
Audit Manager 產出一份assessment report,以可下載 ZIP 格式包含:每個控制項的證據檔案(Config configuration item、CloudTrail 事件、Security Hub 發現、手動上傳)、將證據映射至框架控制項的控制項集摘要,以及防竄改的摘要雜湊。稽核人員通常收到 ZIP 加上 Audit Manager 主控台的即時瀏覽存取。格式符合大多數合規框架的預期(PCI ROC、HIPAA 風險評估、FedRAMP SAR)。
沒有 AWS Organizations 能執行合規稽核嗎?
可以,但更困難。單一帳號的合規稽核可行(Config、Audit Manager、Security Hub 都支援單帳號模式),但跨帳號聚合需要 AWS Organization 或逐帳號設定加手動彙整。SCS-C02 強烈偏好基於 Organizations 的模式,因為它符合 AWS Security Reference Architecture(SRA)和 Control Tower landing zone。
如何在自訂 Config 規則中偵測合規漂移?
使用 Lambda 的自訂 Config 規則評估每個傳送的 CI。若要特別偵測漂移(即昨天合規今天不合規的資源),在 EventBridge 中使用 Config 規則的 compliance change 事件。每次 COMPLIANT 與 NON_COMPLIANT 之間的轉換都會觸發該事件。連接到 SNS 發出警報,或連接到 Lambda 開立工單。對於以 Guard DSL 撰寫的 Custom Policy 規則,同樣的 EventBridge 事件適用。
Cost Anomaly Detection 能取代 GuardDuty 做入侵偵測嗎?
不能。它們是互補的合規稽核與威脅偵測訊號。GuardDuty 偵測惡意行為(DNS 查詢、API 呼叫、連接埠掃描)。Cost Anomaly Detection 偵測惡意經濟影響(資源費用偏差)。緩慢擴展 EC2 執行個體的老練攻擊者可能逃過 GuardDuty 的逐執行個體偵測,但會觸發 Cost Anomaly Detection 的每月基準警報。兩者都要用,並在 Security Hub 中關聯警報。
合規稽核摘要
SCS-C02 的合規稽核故事是一條鏈:AWS Config 記錄狀態,conformance pack 編碼規則集,Security Hub 跨服務聚合發現,Audit Manager 產出監管機構可接受的證據,Macie 分類敏感資料,Trusted Advisor 捕捉輕量錯誤設定,Cost Anomaly Detection 添加經濟入侵訊號,Well-Architected Tool 推動架構審查。精通哪個合規稽核服務產出哪種合規稽核證物,Domain 6 的題目就會變成排除練習。
延伸學習請參考:Security Hub 集中發現架構、GuardDuty 威脅偵測、Organizations 與 SCP 治理、CloudTrail 組織追蹤設計,以及 Control Tower Landing Zone。以上合規稽核知識在這些主題中都有強化。
主要外部來源:AWS Config Developer Guide、AWS Audit Manager User Guide、Amazon Macie User Guide、AWS Security Hub User Guide、AWS Well-Architected Security Pillar。考前請完整閱讀一遍官方合規稽核指南。