Amazon Elastic Container Service - Erstellen von Architekturen für HIPAA-Sicherheit und -Compliance in Amazon Web Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Elastic Container Service

Amazon Elastic Container Service (Amazon ECS) ist ein hoch skalierbarer, leistungsstarker Container-Management-Service, der Docker-Container unterstützt und es Kunden ermöglicht, Anwendungen einfach auf einem verwalteten Cluster von Amazon EC2 auszuführen. Amazon ECS macht es Kunden überflüssig, ihre eigene Cluster-Verwaltungsinfrastruktur zu installieren, zu betreiben und zu skalieren.

Mit einfachen API-Aufrufen können Kunden Docker-fähige Anwendungen starten und stoppen, den vollständigen Status ihres Clusters abfragen und auf viele vertraute Funktionen wie Sicherheitsgruppen, Elastic Load Balancing, EBS-Volumes und IAM-Rollen zugreifen. Kunden können Amazon ECS verwenden, um die Platzierung von Containern in ihrem Cluster basierend auf ihren Ressourcenanforderungen und Verfügbarkeitsanforderungen zu planen.

Die Verwendung von ECS mit Workloads, die PHI verarbeiten, erfordert keine zusätzliche Konfiguration. ECS fungiert als Orchestrierungsservice, der den Start von Containern (Bilder, für die in S3 gespeichert sind) auf EC2 koordiniert und nicht mit oder auf Daten innerhalb des zu orchestrierenden Workloads arbeitet. Im Einklang mit den HIPAA-Vorschriften und dem AWS Business Associate Addendum sollte PHI während der Übertragung und im Ruhezustand verschlüsselt werden, wenn auf Container zugegriffen wird, die mit ECS gestartet wurden. Bei jeder AWS Speicheroption (z. B. S3, EBS und KMS) sind verschiedene Mechanismen für die Verschlüsselung im Ruhezustand verfügbar. Die Sicherstellung der vollständigen Verschlüsselung von PHI, die zwischen Containern gesendet werden, kann Kunden auch dazu führen, ein Overlay-Netzwerk (z. B. VNS3, Weave Net oder ähnliches) bereitzustellen, um eine redundante Verschlüsselungsebene bereitzustellen. Die vollständige Protokollierung sollte jedoch auch aktiviert sein (z. B. über CloudTrail), und alle Container-Instance-Protokolle sollten an weitergeleitet werden CloudWatch.

Die Verwendung von Firelens und AWS für Fluent Bit mit Workloads, die PHI verarbeiten, erfordert keine zusätzliche Konfiguration, es sei denn, die Protokolle enthalten PHI. Wenn Protokolle PHI enthalten, sollten sie nicht an Protokolldateien ausgegeben werden, es sei denn, die Festplattenverschlüsselung ist aktiviert. Konfigurieren Sie stattdessen Ihre Anwendung so, dass Protokolle an den Standardausgang/-fehler ausgegeben werden, der automatisch von erfasst wird FireLens. Aktivieren Sie in ähnlicher Weise keine Dateipufferung für Fluent Bit, es sei denn, die Festplattenverschlüsselung ist ebenfalls aktiviert. Schließlich muss das Protokollziel unterstützen encryption-in-transit. Alle AWS Service-Ausgabe-Plugins in AWS für Fluent Bit verwenden immer TLS-Verschlüsselung, um Protokolle zu exportieren.