中国 SaaS 的 SOC 2 AWS 安全审计:审计师必查的 12 项配置与 90 天加固手册
Alexander Sverdlov
高级安全顾问
本文要点
- SOC 2 里 AWS 是子服务机构。AWS 只对「云本身」负责,约 70% 的 SOC 2 控制在你这一侧,漏掉的部分正是审计师开例外事项的高发区
- 你已经在用的 AWS 服务,几乎每一项都能映射到一条信任服务标准。关键是把审计师的语言翻译成控制台里点得到的页面
- 审计师每次都查的 12 项 AWS 配置覆盖了 80% 的例外高发点。root 账号 MFA、CloudTrail 多区域、IAM 临时凭证是历年例外前三名
- 取证自动化是一次性投入:AWS Config、Security Hub、Audit Manager 加一个第三方工具,单次审计取证工时从 60 小时以上降到 8 小时
- AWS 中国区(北京、宁夏)是独立分区,与全球分区账号、IAM 完全隔离。SOC 2 范围要在 kickoff 前把系统边界写清楚
- 维护正常的 AWS 账号,纯 AWS 侧整改约 30 至 50 个工程师工时,配合 90 天节奏可拿到 Type 1 报告
2026 年 3 月,杭州一家做 API 集成的 SaaS 公司创始人转给我一封审计师的邮件。审计师列了一份 AWS 取证清单:CloudTrail 的多区域配置截图、IAM 凭证报告、KMS 密钥轮换记录、Security Hub 的 SOC 2 合规分数、所有安全组的入站规则导出。邮件最后一句是「请在两周内提供,缺项会延后审计排期」。
这位创始人的 AWS 账号是三年前一位早期工程师开的。root 账号还在用邮箱加密码登录,没绑 MFA;十几个 IAM 用户共用一套宽松权限;CloudTrail 只在 us-east-1 开着;GuardDuty、Config、Security Hub 一个都没打开。他问我的第一个问题是:「这些是不是要从头补?要补多久?」
答案是:要补,但比想象的快。AWS 上的 SOC 2 准备,难的从来不是技术,而是没人提前告诉过你审计师到底要看哪几样东西。我们带 14 家中国 SaaS 走过这条路,整理出这份手册:共担责任的边界在哪、AWS 服务怎么映射到信任服务标准、审计师必查的 12 项配置、怎么把取证自动化、AWS 中国区的特殊处理,以及一套 90 天就能跑完的加固节奏。那家杭州公司最后用了 11 周拿到 Type 1 报告。
如果你还在纠结要不要做 SOC 2、先做 Type 1 还是 Type 2,可以先读我们的 中国 SaaS SOC 2 合规总览。本文假设你已经决定做,专注在 AWS 这一侧怎么落地。
第一步
先画清边界:AWS 共担责任模型与 SOC 2
中国 SaaS 创始人对 AWS 上的 SOC 2 最常见的误解,是一句话:「我们用的是 AWS,安全这块 AWS 都帮我们做了。」这句话只对了一半,而错的那一半会让你在审计里付出代价。AWS 的共担责任模型把安全分成两块:AWS 负责「云本身的安全」,你负责「云中的安全」。
在 SOC 2 报告里,AWS 会被列为子服务机构(subservice organization)。绝大多数 SaaS 采用 carve-out 方式:你在报告里声明依赖 AWS,并引用 AWS 自己的 SOC 2 报告作为底层基础设施受控的证据。这份报告从 AWS Artifact 控制台免费下载,几分钟就能拿到。你不需要、也无法去审计 AWS 的数据中心。审计师真正逐项检查的,是右侧那一栏:IAM、加密、网络、日志这些你在控制台里亲手配置的东西。
把这条边界画清楚,你会省下两类时间。一是不再为 AWS 已经覆盖的物理与硬件控制写文档,那是浪费;二是不会漏掉那 70% 真正属于你的配置项,而漏掉的那部分,正是审计师开具例外事项(exception)的高发区。这一节给你的,是一张正确的责任地图:知道哪些不用管,剩下的就是你这 90 天要做的全部。
第二步
AWS 服务怎么映射到 SOC 2 五大信任服务标准
SOC 2 是基于 AICPA 信任服务标准(Trust Services Criteria)的审计。它有五个类别:安全性(Security)、可用性(Availability)、保密性(Confidentiality)、处理完整性(Processing Integrity)和隐私(Privacy)。其中安全性是强制的,由通用标准 CC1 至 CC9 组成;其余四类按客户需求选做。第一份报告,大多数中国 SaaS 选「安全性 + 可用性 + 保密性」三类,处理完整性和隐私通常留到后面。
好消息是,你已经在用的 AWS 服务,几乎每一项都能对应到某一条标准。下面这张表是我们交给客户工程团队的对照表,左边是审计师的语言,右边是 AWS 控制台里你点得到的东西。
| 信任服务标准 | 它要回答的问题 | 对应的 AWS 服务 | 审计师要的证据 |
|---|---|---|---|
| CC6 逻辑访问控制 | 谁能进系统?权限是不是最小化? | IAM、IAM Identity Center、MFA、KMS、S3 Block Public Access | IAM 凭证报告、SSO 分配清单、MFA 覆盖截图、KMS 密钥策略 |
| CC6.1 审计追踪 | 谁在什么时候做了什么? | CloudTrail(多区域 + 日志文件校验) | CloudTrail 配置截图、日志样本、S3 锁定策略、保留期设置 |
| CC7 系统运行与监控 | 异常和威胁能不能被发现? | GuardDuty、Security Hub、CloudWatch、Config | GuardDuty 发现项、Security Hub 合规分、告警规则、Config 合规状态 |
| CC8 变更管理 | 系统变更是不是受控? | CloudFormation/Terraform、CodePipeline、Config 漂移检测 | 部署流水线日志、IaC 代码评审记录、Config 漂移告警 |
| A1 可用性 | 服务挂了能不能恢复? | Multi-AZ RDS、AWS Backup、Auto Scaling、Route 53 健康检查 | 备份策略、恢复演练记录、多可用区架构图、SLA 监控 |
| C1 保密性 | 敏感数据是不是被保护? | KMS、S3/EBS/RDS 加密、TLS、Macie | 加密配置截图、TLS 策略、数据分类与生命周期规则 |
这张表最大的用处,是让工程团队不再问「审计师到底要什么」。每一条标准都对应一个具体的控制台页面或一份导出文件。把这张表贴到飞书或企微的项目群里,每周取证会议的效率会立刻不一样,讨论从「这条要不要做」变成「这条的证据导出了没有」。
第三步
审计师必查的 12 项 AWS 配置
下面 12 项是我们在 14 个项目里,审计师每一次都会查的 AWS 配置。它们覆盖了 SOC 2 例外事项里约 80% 的高发点。你可以今天下午就照着这张表,在自己的 AWS 账号里逐项核对。
如果时间紧、只能先修三项,按这个顺序:第一,root 账号绑 MFA 并删除它的访问密钥,审计师看到 root 有活跃访问密钥,几乎必开例外。第二,把 CloudTrail 改成覆盖所有区域并开启日志文件校验,只在单区域开启意味着别的区域里发生的事你看不见。第三,把长期存在的 IAM 用户访问密钥换成 IAM Identity Center 的临时凭证,长期密钥泄露是云上事故的头号原因。这三项是历年例外事项的前三名。
这份清单的价值在于它是可执行的:不是抽象的「加强访问控制」,而是 12 个能在 AWS 控制台里一项项打勾的动作。审计师 kickoff 之前自查一遍,你就能给出一个准确的差距清单,知道这 90 天到底要修多少东西。
第四步
AWS 证据自动化:从手工截图到持续合规
SOC 2 的工作量,有很大一块是「取证」,把控制确实在运行这件事,变成审计师能验收的截图和导出文件。中国 SaaS 第一次做,几乎都是手工:SRE 登录控制台,一个控制一个控制地截图,一个审计期下来 60 至 80 小时。更糟的是 Type 2 报告:观察期里每个月都要重来一遍。这件事必须自动化。
AWS 原生就有三件工具能把取证自动化。AWS Config 一致性包(conformance pack)能持续评估你的资源是否符合一组规则,并保留评估历史。Security Hub 启用基础安全标准后会给出一个合规分,这个分数本身就是很好的进度表。AWS Audit Manager 内置了一个现成的 SOC 2 框架,能按 SOC 2 的控制把 AWS 证据自动归集成评估报告。这三件工具的月成本,对一家 50 人的 SaaS 大约 USD 200 至 600,Config 按记录的配置项计费,GuardDuty 按分析的事件量计费,相对审计本身可以忽略。
在 AWS 原生之上,大多数公司还会用一个第三方平台,Vanta、Drata 或 Sprinto。它们通过一个只读 IAM 角色连进你的 AWS 账号,用 API 持续拉取证据,并且同时覆盖 GitHub、人事系统、办公终端这些 AWS 之外的来源。年费约 USD 3,500 至 6,000。这一步的价值很直接:取证从一次性的重复劳动,变成一条一直在运行的流水线。第二年做 Type 2 审计时,你几乎不用为取证再花时间。
第五步
中国 SaaS 的 AWS 特有难点:分区、边界与跨境取证
如果你的产品只服务美国和欧洲客户,数据全在 AWS 全球分区(us-east-1 之类),这一节可以快速略过,你的情况是标准情况。但很多中国 SaaS 是「一套产品、两边客户」,国内业务跑在 AWS 中国区或阿里云,这时候 SOC 2 的范围就要特别设计。
AWS 中国区是一个独立的分区(partition),技术标识叫 aws-cn。它由中国境内的合作方运营,北京区由光环新网运营,宁夏区由西云数据运营,有独立的账号体系、独立的 IAM、独立的 API 端点,控制台地址都不一样(console.amazonaws.cn)。要使用它,你需要中国境内的营业执照并完成 ICP 备案。它与全球分区之间,账号和权限完全不互通。SOC 2 审计师评估的是全球分区。所以如果你的美国客户数据在 us-east-1,路径是标准的;如果你同时在中国区有业务,就要在审计范围里把这件事说清楚。
还有一个跨境取证的细节。审计师需要只读访问来取证。正确做法是建一个专用的 IAM 角色,授予 ReadOnlyAccess 托管策略,强制 MFA,并通过 IAM Identity Center 给审计师一个有时限的 SSO 入口。审计师看到的是配置和元数据,不是真实的个人信息,这一点对 PIPL 合规很关键:PIPL 限制境外人员访问境内个人信息,而 SOC 2 取证看的是控制的设计,本来就不需要碰真实用户数据。这一节给你的是一个决定:在审计 kickoff 之前就把系统边界写清楚。边界写对了,就不会在审计进行到一半时被迫重新谈范围,那是最贵的一种返工。
第六步
90 天 AWS 加固到 SOC 2 就绪的节奏
把前面五节落到日历上,就是下面这套 90 天节奏。它从你决定做 SOC 2 算起,不含选审计师的时间。对一个维护得还算正常的 AWS 账号,纯 AWS 侧的整改工时大约 30 至 50 个工程师小时;账号越老、越乱,越往上走。
这套节奏的关键不是快,而是顺序对。先开监控,这样 Config 和 Security Hub 能尽早开始累积历史数据;Type 2 观察期看的是「过去几个月控制是否持续有效」,没有足够的历史记录就没法交差。再做整改,最后才接审计师。顺序反了,你会在审计期里才发现 Config 缺少历史数据,那时候已经来不及了。把这张图直接复制进飞书的项目日程,13 周的每一周都有明确的交付物,这就是这一节给你的东西。
Atlant Security 如何帮你
中国 SaaS 的 AWS 加固与 SOC 2 全流程托管
我们和美国持牌审计师事务所长期合作,专门为 30 至 300 人的中国 SaaS 提供 SOC 2 全流程托管。从 AWS 账号盘点、12 项配置整改、KMS 与加密落地、IAM Identity Center 迁移、Config 与 Security Hub 取证自动化、到审计师对接和报告交付,整套服务一站式完成。中文沟通,按美国合规标准交付。
- 固定价格 USD 22,000 起(含审计师协调,不含审计师本身费用)
- 13 至 18 周交付 SOC 2 Type 1,含 AWS 取证流水线搭建
- 14 家中国 SaaS 客户实战经验
- AWS 原生工具 + Vanta/Drata 双层取证
- 报告交付后付款(首付 30% 启动)
常见问题
中国 SaaS 团队经常问我们的问题
我们已经在 AWS 上了,是不是 AWS 帮我们做了大部分 SOC 2 工作?
不是。AWS 的共担责任模型只覆盖「云本身」,物理数据中心、硬件、虚拟化层。「云中的安全」,IAM、加密、安全组、日志、S3 桶配置,全部由你负责。按我们 14 个项目的经验,SOC 2 控制大约 70% 落在你这一侧,需要你逐项配置并向审计师举证。AWS 帮你省掉的,是机房和硬件那部分文档,仅此而已。
AWS Artifact 里的 SOC 2 报告能不能直接给美国客户?
不能。AWS Artifact 里的 SOC 2 报告是 AWS 为自己的基础设施出具的报告,证明的是 AWS 机房和平台受控,它不是你公司的 SOC 2 报告。在你自己的 SOC 2 项目里,这份报告的用途是作为子服务机构证据被引用(carve-out 方式)。美国客户要的是你公司的 SOC 2 报告,由美国持牌审计师对你的系统出具。两者不能互相替代。
我们的数据在 AWS 中国区,能做 SOC 2 吗?
能,但要把范围设计清楚。AWS 中国区(北京、宁夏)是与全球分区隔离的独立分区,账号、IAM、API 端点都不互通。SOC 2 审计师评估的是你服务美国客户的那套系统。正确做法是在 kickoff 前划定系统边界:把服务美国客户的系统圈进范围(通常在全球分区),中国区要么用数据隔离说明清楚,要么明确排除。14 家客户里有 5 家是「双区域」架构,全部顺利通过,关键在于边界写得早、写得清楚。
一定要用 IAM Identity Center 吗?我们现在都是 IAM 用户。
不是硬性强制,但强烈建议。SOC 2 不点名要求某个具体产品,它要求的是「访问受控、凭证不长期暴露」。长期存在的 IAM 用户访问密钥是云上事故的头号原因,也是审计师例外事项的高发点。IAM Identity Center 提供的是临时凭证和集中的 SSO,能干净地满足这条标准。如果暂时不迁,至少要做到:所有 IAM 用户强制 MFA、访问密钥定期轮换、删除不用的密钥。但迁移到 Identity Center 是一劳永逸的做法。
AWS Audit Manager 和 Vanta、Drata 选哪个?
不是二选一,很多公司两个都用。AWS Audit Manager 是 AWS 原生的,内置 SOC 2 框架,按资源评估计费,擅长把 AWS 内部的证据自动归集。但它只看 AWS。Vanta、Drata、Sprinto 这类第三方平台覆盖面更广,除了 AWS,还能拉 GitHub、人事系统、办公终端的证据,年费约 USD 3,500 至 6,000。我们的建议:用 AWS 原生工具(Config、Security Hub、Audit Manager)做 AWS 侧的深度取证,再用一个第三方平台做全公司范围的统一面板。
用了 AWS Organizations 多账号,SOC 2 会更难吗?
恰恰相反,多账号通常让 SOC 2 更简单。用 AWS Organizations 把生产、测试、日志分到不同账号,本身就是一种良好的隔离控制,审计师会认可。关键是用委派管理员把 CloudTrail、Config、GuardDuty、Security Hub 在组织层面集中开启和汇总,这样取证有一个统一入口,不用一个账号一个账号去翻。单账号反而容易把生产和测试混在一起,给审计师留下分隔不清的印象。
AWS 上的 SOC 2,本质上是一件「翻译」工作:把你已经做对的安全配置,翻译成审计师能验收的证据;把审计师的标准语言,翻译成控制台里点得到的页面。中国 SaaS 在技术上往往不弱,真正卡住项目的,是没人提前把这套对照关系讲清楚。本文的五张图,共担责任边界、标准映射表、12 项配置、取证流水线、90 天节奏,合在一起就是那套对照关系。
从今天就能动手的事很具体:打开 AWS 控制台,照着 12 项配置自查一遍,把 root 账号绑上 MFA,把 CloudTrail 改成多区域,把 Config、GuardDuty、Security Hub 三个开关打开。光是这几步,就能让监控开始累积历史数据,而历史数据是 Type 2 观察期最值钱的东西,越早开始越好。剩下的整改,按 90 天节奏一周一周推。
想聊聊你公司 AWS 账号的具体情况?预约 30 分钟咨询,或直接发邮件给 alexander@atlantsecurity.com。
Alexander Sverdlov
Atlant Security 创始人,两本信息安全著作的作者,亚洲最大网络安全会议演讲嘉宾, 联合国会议小组成员,前微软安全咨询团队成员,前阿联酋核能公司外部网络安全顾问。