Amazon Elastic Container Service - Arquitectura de seguridad de HIPAA y cumplimiento de servicios Amazon Web

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon Elastic Container Service

Amazon Elastic Container Service (Amazon ECS) es un servicio de administración de contenedores altamente escalable y de alto rendimiento que admite contenedores Docker y permite a los clientes ejecutar aplicaciones fácilmente en un clúster gestionado de instancias de Amazon EC2. Amazon ECS elimina la necesidad de que los clientes instalen, operen y escalen su propia infraestructura de administración de clústeres.

Con simples llamadas a la API, los clientes pueden lanzar y detener aplicaciones habilitadas para Docker, consultar el estado completo de su clúster y acceder a muchas funciones conocidas, como los grupos de seguridad, Elastic Load Balancing, los volúmenes de EBS y las funciones de IAM. Los clientes pueden usar Amazon ECS para programar la ubicación de los contenedores en su clúster en función de sus necesidades de recursos y requisitos de disponibilidad.

El uso de ECS con cargas de trabajo que procesan la PHI no requiere ninguna configuración adicional. ECS actúa como un servicio de organización que coordina el lanzamiento de contenedores (cuyas imágenes se almacenan en S3) en EC2 y no funciona con los datos de la carga de trabajo que se está organizando ni sobre ellos. De conformidad con las normas de la HIPAA y el anexo sobre socios AWS comerciales, la PHI debe cifrarse tanto en tránsito como en reposo cuando se accede a ella desde contenedores lanzados con ECS. Hay varios mecanismos de cifrado en reposo disponibles con cada opción de AWS almacenamiento (por ejemplo, S3, EBS y KMS). Garantizar el cifrado completo de la PHI enviada entre contenedores también puede llevar a los clientes a implementar una red superpuesta (como VNS3, Weave Net o similar) para proporcionar una capa de cifrado redundante. No obstante, también debería estar habilitado el registro completo (por ejemplo, mediante CloudTrail) y dirigirse a todos los registros de las instancias del contenedor. CloudWatch

El uso de Firelens y AWS Fluent Bit con cargas de trabajo que procesan la PHI no requiere ninguna configuración adicional, a menos que los registros contengan la PHI. Si los registros contienen PHI, no deben emitirse a los archivos de registro, a menos que el cifrado del disco esté habilitado. En su lugar, configure la aplicación para que emita los registros de salida o error de forma estándar y los recopile automáticamente. FireLens Del mismo modo, no habilite el almacenamiento en búfer de archivos para Fluent Bit, a menos que también esté activado el cifrado del disco. Por último, el destino del registro debe ser compatible encryption-in-transit; todos los complementos de salida del AWS servicio de AWS for Fluent Bit siempre utilizarán el cifrado TLS para exportar los registros.