Day 30: 资安的隐藏第六面项:AWS 合规 & 完赛心得

前面讲了在AWS上的资安五大面向以及相关的服务简介、操作，今天我们来看看隐藏的第六面向:AWS 合规。
在Day 2的文章我们提到了AWS上的资安以及合规是AWS及客户共同承担的责任。同时，AWS也针对不同的产业、应用情境以及区域去符合相关的规定，例如:HIPAA、HITRUST、GDPR、SOC、NIST 800–171、ISO、PCI DSS、FedRAMP等。
那我们该如何去看到这些合规文件以及确保公司是符合这些产业规范呢?

AWS Artifact
只要你有启用AWS帐户，都可以在AWS Artifact找到合规性文件
1.找到Artifact，按View report

2.在搜寻的地方输入你想要看的报告，例:PCI DSS，按Download report就可以下载报告的pdf.档

总结
FBI说过世界上只有两种公司，一种是已经被骇客入侵的公司，另外一种是还不知道被骇客入侵的公司。今天当任何设备连上网路，不管你我都可能会发生资安事件。资安是一个不断迭代的过程，唯有不断学习，不断的检讨改进，才有可能减少发生的机率。

完赛心得
其实我是一位刚从行销转职刚满三个月的工程师，如果在文章中有任何错误也请前辈们多多指教。在这30篇的文章中，我采用先介绍理论，在进入实务布署的模式撰写文章，因为我认为资安最重要的就是观念，观念不对做什麽都会是错误的，接着才是实际操作。
写文章的过程中最大的收获还是自己，毕竟以前是没有碰过这些服务的。透过文章的形式来呈现，一方面算是自我学习的展现，另一方面也是希望提供有需要的人一些资源。最後还是非常感谢大家看到这边，第一次参赛就有那麽多的观看数，让我受宠若惊，也期待大家有更多的意见交流。

精彩回顾
Day 1:Why do I write this topic?
Day 2:AWS Shared Responsibility Model
Day 3:Security Group 简介与布建
Day 4:Network Access Control List(NACL) 简介与布建
Day 5:AWS上的NIST资安五大面向
Day 6:IAM简介
Day 7:IAM users、group建立
Day 8:IAM role、Policy建立
Day 9:MFA启用、IAM Analyzer
Day 10:Detection on AWS
Day 11:Amazon GuardDuty简介
Day 12:GuardDuty单一帐号/Org.布建、测试结果产生
Day 13:GuardDuty结果汇出至S3、发送告警Email设定
Day 14:Inspector简介
Day 15:Inspector 布建
Day 16:AWS Config简介
Day 17:AWS Config、Config rules、Dashboard建立
Day 18:Security Hub简介
Day 19:Security Hub 单一帐号/启用Org.後的布建
Day 20:Security Hub 新帐号加入、Insight设定
Day 21:Infrastructure Protection on AWS
Day 22:WAF、Firewall Manager、Shield简介
Day 23:WAF web ACL、rules group建立
Day 24:Data Protection on AWS
Day 25:Macie 简介及操作
Day 26:KMS/Cloud HSM/Secrets Manager 傻傻分不清楚
Day 27:KMS key建立、轮换/ Secrets Manager secret轮换设定
Day 28:Incident Response on AWS
Day 29:Detective 简介与操作
Day 30:资安的隐藏第六面项:AWS 合规 & 完赛心得