AWS Marketplace Vendor Insights是 AWS Marketplace 的一项新功能。从 AWS Marketplace 采购解决方案时,它简化了第三方软件风险评估。
它通过将数据隐私和驻留、应用程序安全和访问控制等安全和合规信息编译在一个综合仪表板中,帮助您确保第三方软件持续满足您的行业标准。
作为一名安全工程师,您现在可以在几天而不是几个月内完成第三方软件风险评估。您现在可以:
通过搜索和访问 Vendor Insights 配置文件,在 AWS Marketplace 中快速发现符合您的安全和认证标准的产品。
访问和下载当前和经过验证的信息,以及从供应商的安全工具和审计报告中收集的证据。报告可在AWS Artifact第三方报告上下载(现已提供预览版)。
在采购后监控软件的安全状况并接收安全和合规性事件的通知。
作为软件供应商,您现在可以减轻响应买方风险评估信息请求的运营负担。它为您的客户提供自助服务访问体验。您现在可以:
通过上传您的ISO 27001或SOC2 类型 2报告并使用AWS Audit Manager完成软件风险评估来构建您的产品的安全配置文件。
使用AWS Artifact第三方报告(预览版)存储和共享您的合规性报告,例如 ISO 27001 和 SOC2 Type 2 。
查看并批准您的买家请求,查看存储在 Vendor Insights 中的安全控制和合规工件。
让我们看看
实际效果我想在 AWS Marketplace 上购买解决方案。但在购买产品之前,作为一名安全工程师,我想审查它的合规性。我导航到AWS 管理控制台的AWS Marketplace页面。我使用左侧的分面搜索来选择符合 ISO 27001 标准的供应商。
我选择一个产品。在“产品概览”页面上,我选择右上角的“查看评估数据”(屏幕截图中未显示)。然后,我可以看到概览页面,其中显示了收到的安全证书和到期日期。
我选择“安全与合规”选项卡,发现我需要请求访问权限才能查看详细的安全与合规信息。我选择右上角的Request access按钮,请求供应商访问他们的合规文档。
在下一页上,我用我的详细信息填写了您的信息表,然后选择请求访问权。
后续步骤部分详细说明了接下来会发生什么。卖方将与我联系以签署保密协议 (NDA)。签署 NDA 后,卖家将通知 AWS Marketplace。然后,我将被授予访问 Vendor Insights 数据的权限。
该过程可能需要几天时间。对于这个演示,我切换到一个虚构的产品——Everest——我可以访问它的合规数据。当我的访问请求被接受时,这里是“安全与合规”选项卡。
摘要部分显示有多少控件可用。它报告了有多少已通过证据验证以及有多少已由卖家自行报告。它还显示报告了多少不合规控制。
我可以向下滚动页面以查看多个类别的详细信息:审计、合规性和安全策略、数据安全、访问管理、应用程序安全、风险管理和事件响应、业务弹性和连续性、最终用户设备安全、基础设施安全、人员资源、安全和配置策略。屏幕截图并未显示所有这些。
我选择访问控制的详细信息并查看控制名称下的列表。对于它们中的每一个,我都可以看到SOC2 类型 2、ISO 27001和供应商自我评估的合规性。
我选择了不合规的,以获取供应商提供的详细信息和解释。
如果需要,我可能还会使用AWS Artifact第三方报告(预览版)来下载合规性报告。
对于软件供应商
作为软件供应商,您可以在AWS Marketplace上为您的 SaaS 产品创建安全配置文件,并与您的潜在和现有买家共享此配置文件。它可以帮助您减少工程和安全团队响应客户问卷的手动工作。
要创建安全配置文件,您需要使用AWS Audit Manager在您的市场管理 AWS 账户上完成自我评估,共享当前的 SOC2 Type II 和 ISO27001 合规性工件(如果可用),并使用Audit Manager和AWS开启自动评估在您的生产 AWS 账户上配置。
我们的团队创建了一个AWS CloudFormation模板来自动执行入职步骤。您可以在我们的 GitHub 存储库中找到技术资源,例如设置指南和入职模板。创建配置文件后,Vendor Insights 将使用来自Audit Manager和AWS Config的自动证据使您的安全配置文件保持最新。您个人资料的更新将作为通知发送。您的安全与合规团队可以在更新与买家共享之前对其进行审查。
借助 Vendor Insights,您可以通过批准买家的订阅请求来管理对产品安全配置文件的访问。当买家请求访问时,Vendor Insights 会通过电子邮件将他们的联系信息分享给您的合规或交易台运营团队。他们可以与买家完成 NDA,并通知 AWS Marketplace 授予买家访问您的安全配置文件的权限。如果您不想再与买家共享您的产品的安全性和合规性状况信息,您还可以在日后请求 AWS Marketplace 撤销买家的订阅。
整个过程记录在AWS Marketplace Vendor Insights 卖家指南中。定价和可用性Vendor Insights 现已在提供AWS Marketplace 的所有 AWS 区域推出。定价模型非常简单;使用 AWS Marketplace Vendor Insights 不收取任何费用。对于买家,您可以在采购阶段访问和下载资产。如果您在 60 天后仍未购买产品,您将无法访问 Vendor Insights 配置文件。当您购买产品时,您可以继续访问产品的安全配置文件以持续监控其合规状态。对于卖家,AWS Marketplace 不收取激活和使用 Vendor Insights 的费用。您将因使用 Audit Manager 和 AWS Config 而产生费用。立即前往AWS Marketplace 开始您的风险评估。撰写,塞巴斯蒂安·斯托马克,自八十年代中期第一次接触 Commodore 64 以来,Seb 一直在编写代码。他将激情、热忱、客户支持、好奇心和创造力秘密地结合在一起,激发构建者释放 AWS 云的价值。他的兴趣是软件架构、开发人员工具和移动计算。如果你想卖给他一些东西,确保它有一个 API。
