AWS Fargate Estándar de procesamiento de la información federal (FIPS, Federal Information Processing Standard 140)
Estándar de procesamiento de la información federal (FIPS) La norma FIPS-140 es un estándar del gobierno estadounidense y canadiense que especifica los requisitos de seguridad para los módulos criptográficos que protegen la información confidencial. La FIPS-140 define un conjunto de funciones criptográficas validadas que se pueden utilizar para cifrar los datos en tránsito y los datos en reposo.
Al activar la conformidad con la norma FIPS-140, puede ejecutar cargas de trabajo en Fargate de forma que cumpla con la norma FIPS-140. Para obtener más información acerca de la conformidad con la FIPS-140, consulte Estándar federal de procesamiento de la información (FIPS) 140-2
Consideraciones sobre FIPS-140 de AWS Fargate
Tenga en cuenta lo siguiente cuando utilice el cumplimiento con la norma FIPS-140 en Fargate:
-
La conformidad con la norma FIPS-140 solo está disponible en las regiones AWS GovCloud (US).
-
La conformidad con la norma FIPS-140 se desactiva de forma predeterminada. Debe activarlo.
-
Sus tareas deben utilizar la siguiente configuración para cumplir con la norma FIPS-140:
-
El
operatingSystemFamily
debe serLINUX
. -
El
cpuArchitecture
debe serX86_64
. -
La versión de la plataforma Fargate debe ser
1.4.0
o posterior.
-
Utilice la norma FIPS en Fargate.
Utilice el siguiente procedimiento para hacer uso de la conformidad con la norma FIPS-140 en Fargate.
-
Active la conformidad con la norma FIPS-140. Para obtener más información, consulte Conformidad de AWS Fargate con el Estándar Federal de Procesamiento de la Información(FIPS-140).
-
Puede utilizar ECS Exec para ejecutar el siguiente comando a fin de verificar el estado de conformidad con la norma FIPS-140 de un clúster.
Reemplace
my-cluster
por el nombre de su clúster.Un valor devuelto de “1” indica que está utilizando la norma FIPS.
aws ecs execute-command --cluster
cluster-name
\ --interactive \ --command "cat /proc/sys/crypto/fips_enabled"
Uso de CloudTrail para la auditoría de FIPS-140 de Fargate
CloudTrail se enciende en su cuenta de AWS cuando la crea. Cuando se produce una actividad relativa a la API y la consola en Amazon ECS, dicha actividad se registra en un evento de CloudTrail junto con los eventos de los demás servicios de AWS en Historial de eventos. Puede ver, buscar y descargar los últimos eventos de la cuenta de AWS. Para obtener más información, consulte Visualización de eventos con el historial de eventos de CloudTrail.
Para obtener un registro continuo de los eventos de la cuenta de AWS, incluidos los eventos de Amazon ECS, cree un registro de seguimiento, para que CloudTrail envíe los archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3 especificado. También es posible configurar otros servicios de AWS para analizar en profundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para obtener más información, consulte Registro de llamadas a la API de Amazon ECS mediante AWS CloudTrail.
En el ejemplo siguiente, se muestra una entrada de registro de CloudTrail que ilustra la acción de API PutAccountSettingDefault
:
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AIDAIV5AJI5LXF5EXAMPLE",
"arn": "arn:aws:iam::123456789012:user/jdoe",
"accountId": "123456789012",
"accessKeyId": "AKIAIPWIOFC3EXAMPLE",
},
"eventTime": "2023-03-01T21:45:18Z",
"eventSource": "ecs.amazonaws.com",
"eventName": "PutAccountSettingDefault",
"awsRegion": "us-gov-east-1",
"sourceIPAddress": "52.94.133.131",
"userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
"requestParameters": {
"name": "fargateFIPSMode",
"value": "enabled"
},
"responseElements": {
"setting": {
"name": "fargateFIPSMode",
"value": "enabled",
"principalArn": "arn:aws:iam::123456789012:user/jdoe"
}
},
"requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
"eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
}
}