uzobola/aws-grc-engineering-project

# AWS GRC 工程项目 ## 概述 本项目展示了一种在 AWS 中实现治理、风险与合规 (GRC) 的工程驱动方法。它侧重于跨常见 AWS 安全领域的持续控制监控、自动化证据收集、合规框架映射、风险评分以及审计就绪报告。 其目标是展示如何将 AWS 安全遥测数据转化为持续的合规证据和可执行的风险洞察。 ## 业务问题 云环境变化迅速，但许多合规计划仍然依赖手动收集证据、截图、电子表格和特定时间点的审计。这会导致延误、证据不一致、可见性有限以及控制偏差风险增加。 ## 解决方案 本项目实现了一个轻量级的 AWS GRC 工程工作流，该工作流能够： - 定义可重用的 AWS 安全控制目录 - 将 AWS 技术控制映射到合规框架 - 使用 Python 和 boto3 从 AWS API 收集证据 - 根据风险严重程度对发现的问题进行评分 - 生成审计就绪的证据输出 - 为未通过的控制提供修复指南 ## 控制领域 - 身份与访问管理 - 日志记录与监控 - 数据保护 - 威胁检测 - 安全态势管理 ## 框架对齐 本项目包含以下合规框架的控制映射示例： - CIS AWS 基础基准 - NIST 网络安全框架 - NIST SP 800-53 - SOC 2 信任服务标准 - ISO/IEC 27001 - PCI DSS ## 当前项目状态 第一阶段侧重于构建基础 GRC 制品： - AWS 控制目录 - 框架映射 - 控制测试方法 - 证据收集器结构 - 风险评分模型 - 修复工作流模板 ## 仓库结构 ``` aws-grc-engineering-project/ ├── control-catalog/ ├── evidence-collector/ ├── remediation/ ├── reports/ ├── risk-scoring/ ├── .gitignore └── README.md ``` ## 计划功能 - 自动化 IAM 证据收集 - S3 安全控制验证 - CloudTrail 日志记录验证 - GuardDuty 与 Security Hub 安全态势检查 - JSON/CSV 证据输出 - 基于风险的发现优先级排序 - 审计就绪报告模板 - 修复与例外跟踪 ## 作者 本项目由 Uzo Bolarinwa 构建，是其侧重于云安全、合规自动化和安全控制的 AWS GRC 工程实践作品集的一部分。

标签：AMSI绕过, AWS, boto3, CIS AWS Foundations Benchmark, DevSecOps, DPI, GRC, ISO/IEC 27001, NIST SP 800-53, NIST网络安全框架, PCI DSS, ProjectDiscovery, Python, SOC 2, 上游代理, 云合规, 合规工程, 威胁检测, 安全态势管理, 审计报告, 持续控制监控, 数据保护, 无后门, 日志与监控, 框架映射, 治理、风险与合规, 自动化合规, 自动化证据收集, 身份与访问管理, 逆向工具, 风险评分