Normas de seguridad de datos del sector de pagos con tarjeta (PCI DSS) HIPAA (Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU) AWS Security Hub Supervisión en tiempo de ejecución de Amazon GuardDuty con Amazon ECS Recomendaciones de conformidad

Prácticas recomendadas sobre seguridad y conformidad de Amazon ECS

La responsabilidad de conformidad al utilizar Amazon ECS se determina en función de la confidencialidad de los datos, los objetivos de cumplimiento de la empresa y la legislación y normativa aplicables.

Normas de seguridad de datos del sector de pagos con tarjeta (PCI DSS)

Es importante que comprenda el flujo completo de datos de los titulares de tarjetas (CHD) en el entorno cuando se adhiera a la norma PCI DSS. El flujo de CHD determina la aplicabilidad de la norma PCI DSS, define los límites y los componentes de un entorno de datos de titulares de tarjetas (CDE) y, por lo tanto, el alcance de una evaluación de la PCI DSS. Determinar con precisión el alcance de la norma PCI DSS es clave para definir la postura de seguridad y, en última instancia, para que la evaluación sea exitosa. Los clientes deben disponer de un procedimiento para determinar el alcance que garantice su integridad y detecte los cambios o desviaciones del alcance.

La naturaleza temporal de las aplicaciones en contenedores conlleva más dificultades a la hora de auditar las configuraciones. Como resultado, los clientes deben conocer todos los parámetros de configuración de los contenedores para garantizar que se cumplan los requisitos de conformidad en todas las fases del ciclo de vida del contenedor.

Para obtener más información sobre cómo lograr la conformidad con la norma PCI DSS en Amazon ECS, consulte los siguientes documentos técnicos.

Diseño de arquitectura en Amazon ECS para cumplir con la norma PCI DSS

HIPAA (Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU)

El uso de Amazon ECS con cargas de trabajo que procesan protected health information (PHI, información médica protegida) no requiere ninguna configuración adicional. Amazon ECS actúa como un servicio de orquestación que coordina el lanzamiento de contenedores en Amazon EC2. No funciona con los datos de la carga de trabajo que se está orquestando ni sobre ellos. De conformidad con las normas de la HIPAA y el apéndice sobre socios comerciales de AWS, la PHI debe cifrarse tanto en tránsito como en reposo cuando se accede a ella desde contenedores lanzados con Amazon ECS.

Hay varios mecanismos de cifrado en reposo disponibles con cada opción de almacenamiento de AWS, como Amazon S3, Amazon EBS y AWS KMS. Puede implementar una red superpuesta (como VNS3 o Weave Net) para garantizar el cifrado completo de la PHI transferida entre contenedores o para proporcionar una capa de cifrado redundante. También debe utilizar el registro completo y dirigir todos los registros de contenedores a Amazon CloudWatch. Para obtener información sobre las prácticas recomendadas de seguridad de infraestructura, consulte Protección de la infraestructura en Pilar de seguridad del Marco de AWS Well‐Architected.

AWS Security Hub

Utilice AWS Security Hub. Este Servicio de AWS proporciona una visión completa de su estado de seguridad en AWS. Security Hub utiliza controles de seguridad para evaluar sus recursos de AWS y comprobar su cumplimiento con los estándares y las prácticas recomendadas del sector de la seguridad. Para obtener una lista de los servicios y controles compatibles, consulte la Referencia de controles de Security Hub.

Supervisión en tiempo de ejecución de Amazon GuardDuty con Amazon ECS

Amazon GuardDuty es un servicio de detección de amenazas que ayuda a proteger las cuentas, los contenedores, las cargas de trabajo y los datos de su entorno de AWS. Mediante modelos de machine learning (ML) y capacidades de detección de anomalías y amenazas, GuardDuty supervisa continuamente los diferentes orígenes de registro y la actividad en tiempo de ejecución para identificar y priorizar los posibles riesgos de seguridad y actividades maliciosas en su entorno.

Utilice la supervisión en tiempo de ejecución en GuardDuty para identificar comportamientos malintencionados o no autorizados. La supervisión en tiempo de ejecución protege las cargas de trabajo que se ejecutan en Fargate y EC2 mediante la supervisión continua de la actividad de registro y red de AWS para identificar comportamientos malintencionados o no autorizados. La supervisión en tiempo de ejecución utiliza un agente de seguridad de GuardDuty ligero y totalmente administrado que analiza el comportamiento en el host (como el acceso a los archivos, la ejecución de procesos y las conexiones de red). Esto abarca problemas como el escalado de privilegios, el uso de credenciales expuestas, la comunicación con direcciones IP malintencionadas, los dominios y la presencia de malware en las cargas de trabajo de contenedores e instancias de Amazon EC2. Para obtener más información, consulte GuardDuty Runtime Monitoring en la Guía del usuario de GuardDuty.

Recomendaciones de conformidad

Le recomendamos que se comunique con los propietarios de los programas de cumplimiento de su empresa desde el principio y utilice el Modelo de responsabilidad compartida de AWS para identificar la responsabilidad del control de cumplimiento, a fin de garantizar el éxito de los programas de cumplimiento pertinentes. Para obtener más información, consulte AWS shared responsibility model for Amazon ECS .

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Validación de conformidad

AWS Fargate Conformidad con la norma FIPS-140