支持加拿大的 CCCS PBHVA 覆盖合规性与 AWS 的着陆区加速器 安全博客

---

加拿大的CCCS PBHVA合规性支持与AWS Landing Zone Accelerator

关键要点

CCCS PBHVA覆层的要求包括137个控制措施，以保护高价值资产，AWS的Landing Zone Accelerator可以帮助客户更快地实现合规。AWS与Coalfire合作验证LZA解决方案符合CCCS PBHVA控制要求的能力。LZA解决方案涵盖71的合规控制，借助于AWS的共享责任模型和多种安全服务。

组织若希望遵守加拿大网络安全中心CCCS的受保护B高价值资产PBHVA覆层要求，可以利用Landing Zone Accelerator (LZA) on AWS解决方案搭配CCCS Medium配置来加速其合规旅程。为进一步支持客户，AWS最近与Coalfire合作，评估并验证LZA解决方案支持CCCS PBHVA覆层控制的能力。

通过在CCCS Medium基线之上实施PBHVA控制覆层，您可以更好地保护组织中最重要的资产，抵御潜在威胁和漏洞，确保政府关键操作的连续性，并保护敏感信息。

理解CCCS PBHVA覆层要求

CCCS PBHVA覆层包括137个控制措施，旨在保护高价值资产，其中包括69个新控制和68个来自CCCS Medium的控制。这些控制着重于增强数据保护，特别是完整性和可用性，基于NIST SP 80053 Revision 5。

Coalfire评估的主要发现

Coalfire的评估发现，LZA on AWS解决方案显著支持CCCS PBHVA覆层合规要求：

支持的控制支持比例根据AWS贡献符合要求的控制71 (97/137)该解决方案使用超过35个AWS服务提供全面的安全能力。通过网络账户和网络边界VPC设计实现强大的网络分段。基础设施即代码IaC确保可靠的构建和部署结果。

未被LZA覆盖的29控制措施属于客户在共享责任模型中的责任，客户需在应用程序堆栈或以非技术性控制如政策和程序中自行解决。

关键安全能力

LZA解决方案实现了几个关键安全特性：

身份和访问管理通过AWS身份和访问管理(IAM)和AWS IAM身份中心进行全面的账户管理。多因素身份验证和单点登录(SSO)联合选项。

基于角色的访问控制(RBAC)。

安全监控与保护

使用Amazon GuardDuty进行集成的威胁检测。通过AWS Security Hub进行集中化安全监控。

利用AWS Config进行自动化合规检查。

网络安全

使用AWS Transit Gateway进行高级网络分段。使用AWS网络防火墙进行边界保护。

保障Amazon虚拟私有云(Amazon VPC)设计模式的安全性。

日志与审计

跨账户的集中化日志记录。自动化审计线索创建。综合事件监控。

实施考虑事项

尽管LZA解决方案提供了显著的合规支持，但组织应注意：

该解决方案本身并不能保证合规。组织必须实施自身的政策、标准和程序。深入理解共享责任模型至关重要。

AWS Landing Zone Accelerator经过验证的参考架构文档可在AWS Artifact中下载。此资源能帮助组织减少部署符合CCCS PBHVA覆层要求的环境所需的时间和精力。

结论

Coalfire的评估确认，LZA on AWS解决方案有效支持CCCS PBHVA覆层合规目标。然而，组织应牢记，合规是一个持续的过程，需要主动管理，并不可仅通过技术实现。

如需有关实施Landing Zone Accelerator以满足CCCS PBHVA覆层要求的更多信息，请联系您的AWS账户团队或直接与AWS公共部门团队联系。

如对这篇文章有反馈，请在评论部分提交意见。如果对本文有疑问，请联系AWS支持。

Naranjan GoklaniNaranjan是总部位于多伦多的审计主管，具备北美和欧洲地区的审计、认证、评估经验，拥有超过15年的风险管理、安全保障及技术审计经验。

Michael DavieMichael是AWS合规性和安全保障的加拿大负责人，协助客户、监管机构及AWS团队提高安全云采用和使用的标准。

破解版加速器永久免费

James KiersteadJames是位于加拿大渥太华的AWS高级解决方案架构师，致力于帮助加拿大联邦政府利用AWS提供服务。

标签

AWS Artifact、AWS加拿大中央地区、AWS共享责任模型、加拿大、CCCS、CCCS评估、分类、云安全、合规性、网络安全、联邦、政府、加拿大政府GC、ITSG33、中型云安全配置文件、PBMM、受保护B、公共部门、安全、安全架构。

---