Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für Compliance und Sicherheit für Amazon ECS
Ihre Compliance-Verantwortung bei der Nutzung von Amazon ECS richtet sich nach der Sensibilität Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften.
Payment Card Industry Data Security Standards (PCI DSS)
Es ist wichtig, dass Sie den gesamten Fluss von Karteninhaberdaten (CHD) innerhalb der Umgebung verstehen, wenn Sie sich an PCI DSS halten. Der CHD-Ablauf bestimmt die Anwendbarkeit des PCI DSS, definiert die Grenzen und Komponenten einer Karteninhaberdatenumgebung (CDE) und damit den Umfang einer PCI-DSS-Bewertung. Die genaue Festlegung des PCI-DSS-Umfangs ist entscheidend für die Festlegung der Sicherheitslage und letztlich für eine erfolgreiche Bewertung. Kunden müssen über ein Verfahren zur Festlegung des Umfangs verfügen, das dessen Vollständigkeit sicherstellt und Änderungen oder Abweichungen im Umfang erkennt.
Der temporäre Charakter containerisierter Anwendungen sorgt für zusätzliche Komplexität bei der Prüfung von Konfigurationen. Aus diesem Grund müssen Kunden stets über alle Parameter der Container-Konfiguration informiert sein, um sicherzustellen, dass die Compliance-Anforderungen in allen Phasen des Container-Lebenszyklus erfüllt werden.
Weitere Informationen zum Erreichen der PCI-DSS-Konformität mit Amazon ECS finden Sie in den folgenden Whitepapers.
HIPAA (U.S. Health Insurance Portability and Accountability Act)
Die Verwendung von Amazon ECS mit Workloads, die geschützte Gesundheitsinformationen (PHI) verarbeiten, erfordert keine zusätzliche Konfiguration. Amazon ECS fungiert als Orchestrierungsservice, der den Start von Containern auf Amazon EC2 koordiniert. Er arbeitet nicht mit oder auf Daten innerhalb des zu orchestrierenden Workloads. Gemäß den HIPAA-Vorschriften und dem AWS Business Associate Addendum sollte PHI während der Übertragung und im Ruhezustand verschlüsselt werden, wenn Container, die mit Amazon ECS gestartet wurden, darauf zugreifen.
Für jede AWS Speicheroption sind verschiedene Mechanismen für die Verschlüsselung im Ruhezustand verfügbar, z. B. Amazon S3, Amazon EBS und. AWS KMS Sie können ein Overlay-Netzwerk (wie VNS3 Weave Net) einsetzen, um eine vollständige Verschlüsselung der zwischen Containern übertragenen PHI sicherzustellen oder um eine redundante Verschlüsselungsebene bereitzustellen. Sie sollten auch die vollständige Protokollierung verwenden und alle Container-Protokolle an Amazon weiterleiten CloudWatch. Informationen zur Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.
AWS Security Hub
Verwenden AWS Security Hub. Dies AWS-Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus innerhalb AWS. Security Hub verwendet Sicherheitskontrollen, um Ihre AWS -Ressourcen zu bewerten und Ihre Einhaltung von Sicherheitsstandards und bewährten Methoden zu überprüfen. Die Liste der unterstützten Services und Kontrollen finden Sie in der Security-Hub-Steuerelementreferenz.
Amazon GuardDuty mit Amazon ECS-Laufzeitüberwachung
Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihnen hilft, Ihre Konten, Container, Workloads und die Daten in Ihrer AWS Umgebung zu schützen. Mithilfe von Modellen für maschinelles Lernen (ML) und Funktionen zur Erkennung von Anomalien und Bedrohungen werden GuardDuty kontinuierlich verschiedene Protokollquellen und Laufzeitaktivitäten überwacht, um potenzielle Sicherheitsrisiken und böswillige Aktivitäten in Ihrer Umgebung zu identifizieren und zu priorisieren.
Verwenden Sie Runtime Monitoring GuardDuty , um bösartiges oder nicht autorisiertes Verhalten zu identifizieren. Runtime Monitoring schützt Workloads, die auf Fargate ausgeführt werden, und EC2 überwacht kontinuierlich die AWS Protokoll- und Netzwerkaktivitäten, um bösartiges oder nicht autorisiertes Verhalten zu erkennen. Runtime Monitoring verwendet einen schlanken, vollständig verwalteten GuardDuty Security Agent, der das Verhalten auf dem Host analysiert, z. B. den Dateizugriff, die Prozessausführung und Netzwerkverbindungen. Dies deckt Probleme wie die Eskalation von Rechten, die Verwendung offengelegter Anmeldeinformationen oder die Kommunikation mit bösartigen IP-Adressen und Domains sowie das Vorhandensein von Malware auf Ihren EC2 Amazon-Instances und Container-Workloads ab. Weitere Informationen finden Sie unter GuardDuty Runtime Monitoring im GuardDuty Benutzerhandbuch.
Empfehlungen zur Einhaltung von Vorschriften
Wir empfehlen Ihnen, die Verantwortlichen für das Compliance-Programm in Ihrem Unternehmen frühzeitig einzubeziehen und das Modell der AWS gemeinsamen Verantwortung zu verwenden, um die Verantwortung für die Kontrolle der Einhaltung von Vorschriften für den Erfolg der entsprechenden Compliance-Programme zu ermitteln. Weitere Informationen finden Sie unter AWS Modell der gemeinsamen Verantwortung für Amazon ECS .
