NajmaGRC/AWS-GRC-Platform

# AWS 集成 GRC 平台 **GRC208 顶点项目 | 国际网络安全与数字取证学院** ## 📌 项目概述 本顶点项目展示了一个基于云的 GRC 平台的完整生命周期：从安全账户设置和基础设施供应，到合规自动化与风险管理，再到受控拆解和证据收集。 该平台利用 AWS 原生服务、基础设施即代码（IaC）和无服务器自动化，实现了三个核心 GRC 学科——**治理（Governance）**、**风险（Risk）** 和 **合规（Compliance）** 的实际运营。 **角色：** 个人部署与治理分析（选项 C — 使用个人 AWS 免费额度账户） ## 🏗️ 架构 — 四层设计 该平台采用 **纵深防御** 架构，涵盖四层结构： | 层 | AWS 服务 | GRC 功能 | |---|---|---| | **网络** | VPC、子网、IGW、NAT、安全组 | 边界安全、网络分段、访问控制 | | **数据** | RDS MySQL、S3（×3）、DynamoDB（×3）、KMS | 证据存储、风险登记、合规数据、加密 | | **自动化** | Lambda、EventBridge、SNS | 持续合规监控、告警、报告生成 | | **安全与审计** | CloudTrail、AWS Config、CloudWatch、IAM | 审计日志、持续监控、访问治理 | ## 🚀 部署 — 五个阶段 所有阶段均成功完成并附有证据截图。 | 阶段 | 操作 | 结果 | |---|---|---| | 1 — 网络 | 部署 `cloudformation-network-stack.yaml` | `CREATE_COMPLETE` | | 2 — 数据库 | 部署 `cloudformation-database-stack.yaml` | `CREATE_COMPLETE` | | 3 — Lambda | 部署 `grc-compliance-monitor` 函数 | 已部署 — 确认执行 9 次 | | 4 — 数据加载 | 在 RDS 上执行 `sample_data.sql` | 加载 6 个合规框架 | | 5 — 拆解 | 删除两个 CloudFormation 栈 | `DELETE_COMPLETE` | ## 🔐 实施的安全控制 从项目启动即应用安全加固措施，并直接映射到合规框架要求： - ✅ 根账户与 IAM 用户已启用 MFA（ISO 27001 A.9、NIST CSF 保护） - ✅ 使用最小权限原则的专用 IAM 用户（`NajmaGRCE`） - ✅ 5 个 IAM 角色按服务划分 — 无未使用的访问密钥 - ✅ 通过 AWS KMS 客户托管密钥实现 AES-256 静态加密（2 个 CMK） - ✅ 全部基础设施以代码定义（CloudFormation） — 可版本控制与审计 - ✅ 配置预算告警 — 部署期间支出保持健康 ## 📋 合规框架映射 平台已通过 **六个合规框架** 验证： ### ISO 27001:2022 | 控制项 | 实现方式 | AWS 服务 | |---|---|---| | A.5.15 访问控制 | 最小权限 IAM 策略 | AWS IAM | | A.8.15 日志记录 | 所有 API 调用记录执行者与时间戳 | AWS CloudTrail | | A.8.24 密码学 | 存储数据使用 AES-256 静态加密 | AWS KMS | | A.8.9 配置管理 | 基础设施以代码版本控制 | AWS CloudFormation | | A.6.1.2 风险评估 | Lambda 中实现自动化风险评分 | Lambda + DynamoDB | ### NIST 网络安全框架 | 功能 | AWS 服务 | |---|---| | 治理（Govern） | IAM + CloudFormation 组合 | | 识别（Identify） | AWS Config + DynamoDB 风险登记 | | 保护（Protect） | IAM、KMS、VPC、安全组 | | 检测（Detect） | Lambda 监控 + CloudWatch | | 响应（Respond） | SNS 告警 + EventBridge 自动化 | | 恢复（Recover） | RDS 自动备份 + S3 证据保留 | *同时映射到：PCI DSS、HIPAA、GDPR、SOC 2* ## ⚠️ 风险管理 在 Lambda 函数（`RiskAssessmentEngine` 类）中实现了一个符合 ISO 27001 最佳实践的风险评分模型。评估了六项风险并存储在 `grc-risk-register` DynamoDB 表中，每项风险均可追溯到一个或多个技术控制措施。 ## ✅ 测试与验证 — 22/22 测试通过 | 测试类别 | 用例 | 结果 | |---|---|---| | 合规监控 | 3 | ✅ 通过 | | 风险评估 | 3 | ✅ 通过 | | 数据验证 | 4 | ✅ 通过 | | 数据库操作 | 3 | ✅ 通过 | | 框架映射 | 2 | ✅ 通过 | | 审计日志 | 3 | ✅ 通过 | | 报告生成 | 2 | ✅ 通过 | | 集成工作流 | 2 | ✅ 通过 | | **总计** | **22** | **全部通过** | ## 📂 项目文档 | 文档 | 描述 | |---|---| | `GRC208_Capstone_Project_Report` | 完整技术报告 — 架构、部署与证据 | | `GRC208_Executive_Summary` | 目标、结果与反思的高层摘要 | | `GRC208_Capstone_Presentation` | 总结项目的幻灯片演示 | | `GRC208_Evidence_Report` | 部署截图与实时基础设施证明 | ## 🛠️ 工具与技术 `AWS CloudFormation` `AWS Lambda` `AWS RDS (MySQL)` `AWS DynamoDB` `AWS S3` `AWS CloudTrail` `AWS Config` `AWS CloudWatch` `AWS KMS` `AWS IAM` `AWS SNS` `AWS EventBridge` `AWS VPC` `Python` `VS Code` ## 🎓 关键学习成果 - 将框架控制要求（ISO 27001、NIST CSF）转化为可审计、可运行的 AWS 基础设施 - 理解控制措施与证据之间的关系 — 从策略走向按需证明 - 将 GRC 运营化为 **技术化且持续监控的功能**，而不仅是文档练习 - 通过生命周期管理和受控拆解实现负责任的云财务管理 ## 👤 作者 **Najma Abdi Omar** | GRC 与 ICT 专业人士 | 在银行技术与受监管环境领域拥有 7 年以上经验 [LinkedIn →](https://www.linkedin.com/in/najma-abdi-omar-link-profile/) | [GitHub Portfolio →](https://github.com/NajmaGRC)

标签：AWS, Capstone项目, CloudFormation, CloudTrail, DPI, DynamoDB, GRC平台, KMS, Lambda, RDS, S3, Subfinder, VPC, 事件桥, 云治理, 企业级, 合规管理, 国际网络安全, 安全组, 审计日志, 成本优化, 持续监控, 数字取证, 数据加密, 服务器自动化, 治理, 网络安全取证, 网络隔离, 自动化脚本, 逆向工具, 通知服务