亚马逊AWS官方博客

AWS Marketplace 供应商详情 – 简化第三方软件风险评估

AWS Marketplace 供应商详情AWS Marketplace 的一项新功能。它可简化从 AWS Marketplace 购买解决方案时的第三方软件风险评估。

它通过将安全性与合规性信息(例如数据隐私和驻留、应用程序安全性和访问控制)汇编到一个整合的控制面板中,帮助您确保第三方软件持续符合您的行业标准。

作为安全工程师,您现在可以在数天(而不是数月)内完成第三方软件风险评估。您现在可以:

  • 通过搜索并访问供应商详情配置文件,在 AWS Marketplace 中快速发现符合您的安全和认证标准的产品。
  • 访问和下载经过验证的最新信息,以及从供应商的安全工具和审计报告中收集的证据。可从 AWS Artifact 第三方报告(现提供预览版)下载报告。
  • 在采购后监控软件的安全状况,并接收有关安全性与合规性事件的通知。

作为软件供应商,您现在可以减轻响应买家风险评估信息请求的运营负担。该功能可为您的客户提供自助访问体验。您现在可以:

  • 建立产品的安全配置文件,方法为上传 ISO 27001SOC2 类型 2 报告并借助 AWS Audit Manager 完成软件风险评估。
  • 使用 AWS Artifact 第三方报告(预览版)存储和共享您的合规性报告,例如 ISO 27001 和 SOC2 类型 2。
  • 查看和批准您的买家要求查看存储在供应商详情中的安全控制和合规性构件的请求。

下面来看实际操作
我想在 AWS Marketplace 上购买解决方案。但是在购买产品之前,作为安全工程师,我想了解一下产品合规性。我导航到 AWS 管理控制台AWS Marketplace 页面。我使用左侧的分面搜索来选择符合 ISO 27001 标准的供应商

AWS Marketplace 供应商详情 – 分面搜索我选择一种产品。在“Product Overview”(产品概览)页面上,我选择右上角的 View assessment data(查看评估数据,屏幕截图中未显示)。然后,我可以看到概览页面,其中显示了收到的安全认证到期日期

AWS Marketplace 供应商详情 – 收到的认证我选择 Security and compliance(安全性与合规性)选项卡,发现我需要申请访问权限才能查看详细的安全性与合规性信息。我选择右上角的 Request access(请求访问权限)按钮,请求供应商提供访问权限,以访问他们的合规性文件。

AWS Marketplace 供应商详情 – 请求访问权限第 1 部分

在下一页上,我在 Your information(您的信息)表中填写我的详细信息,然后选择 Request access(请求访问权限)。

AWS Marketplace 供应商详情 – 请求访问权限第 2 部分Next Steps(后续步骤)部分详细介绍了接下来会发生什么。卖家将联系我签署一份保密协议 (NDA)。签署 NDA 后,卖家将通知 AWS Marketplace。然后,我将获得供应商详情数据的访问权限。

这个过程可能需要几天时间。在本演示中,我使用的是一个虚构的产品 Everest,我可以访问该产品的合规性数据。当我的访问请求被接受时,我访问 Security and compliance(安全性与合规性)选项卡。

Summary(摘要)部分显示可用的控制数量。它会报告已通过证据验证的控制数量,以及卖家自行报告的控制数量。它还会显示报告的不合规控制的数量。

我可以向下滚动页面查看多个类别的详细信息:审计、合规性与安全性政策、数据安全性、访问管理、应用程序安全性、风险管理和事件响应、业务弹性和连续性、最终用户设备安全性、基础设施安全性、人力资源以及安全性和配置策略。屏幕截图并未显示所有内容。

AWS Marketplace 供应商详情 – 安全性与合规性我选择 Access control(访问控制)的详细信息,然后查看 Control name(控制名称)下的列表。对于每一项,我都能看到 SOC2 类型 2ISO 27001供应商自我评估的合规性。

AWS Marketplace 供应商详情 – 访问控制我选择不合规项,获取供应商提供的详细信息和解释。

AWS Marketplace 供应商详情 – 不合规详情

如果需要,我也可以使用 AWS Artifact 第三方报告(预览版)来下载合规性报告。

针对软件供应商
作为软件供应商,您可以在 AWS Marketplace 上为您的 SaaS 产品创建安全配置文件,并与潜在和现有买家共享此配置文件。此举可以帮助您减少工程和安全团队人工回复客户咨询的相关工作。

要创建安全配置文件,您需要在您的市场管理 AWS 账户中使用 AWS Audit Manager 完成自我评估,共享当前的 SOC2 类型 II 和 ISO27001 合规性构件(如有),然后使用 Audit ManagerAWS Config 在生产 AWS 账户上启用自动评估。

我们的团队创建了一个 AWS CloudFormation 模板来自动执行入门步骤。您可以在我们的 GitHub 存储库中找到技术资源,如设置指南和入门模板等。创建完配置文件后,供应商详情将使用来自 Audit ManagerAWS Config 的自动证据,使您的安全配置文件保持最新状态。您的配置文件如有更新,将发送通知。您的安全性与合规性团队可以审查这些更新,然后再与买家共享。

借助供应商详情功能,您可以通过批准买家的订阅请求,来管理对产品安全配置文件的访问权限。在买家请求访问权限时,供应商详情会通过电子邮件将该买家的联系信息分享给您的合规性团队或交易台运营团队。其可以与买家完成 NDA 签署,并通知 AWS Marketplace 授予买家权限以访问您的安全配置文件。如果您不想再与买家共享产品的安全性与合规性状况信息,也可以请求 AWS Marketplace 在之后撤销买家的订阅。

整个过程在 AWS Marketplace 供应商详情卖家指南中均有记录。

定价和可用性
供应商详情现已在所有提供 AWS Marketplace 的 AWS 区域推出

定价模式非常简单;使用 AWS Marketplace 供应商详情不收取任何费用。

对于买家,您可以在采购阶段访问和下载资产。如果您在 60 天后仍未购买该产品,您将无法访问供应商详情配置文件。购买产品后,您可以继续访问产品的安全配置文件,以持续监控其合规性状态。

对于卖家,不收取激活和使用 AWS Marketplace 供应商详情的费用。而如果使用 Audit Manager 和 AWS Config,将产生费用。

立即开始在 AWS Marketplace 上进行风险评估

– seb