Bonnes pratiques de conformité et de sécurité pour Amazon ECS

Votre responsabilité de conformité lors de l'utilisation d'Amazon ECS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise, ainsi que par la législation et la réglementation applicables.

AWS fournit les ressources suivantes pour faciliter la conformité :

• Guides de démarrage rapide de la sécurité et de la conformité : ces guides de déploiement proposent des considérations architecturales et indiquent les étapes à suivre pour déployer des environnements de référence centrés sur la sécurité et la conformité dans. AWS

• Livre blanc sur l'architecture pour HIPAA la sécurité et la conformité : ce livre blanc décrit comment les entreprises peuvent utiliser AWS pour créer des applications conformes à la réglementation. HIPAA

• Services AWS concernés par le programme de conformité : cette liste contient les services AWS concernés par les programmes de conformité spécifiques. Pour plus d'informations, veuillez consulter Programmes de conformitéAWS.

Normes de sécurité des données de l'industrie des cartes de paiement (PCIDSS)

Il est important que vous compreniez le flux complet des données des titulaires de cartes (CHD) au sein de l'environnement lorsque vous adhérez. PCI DSS Le CHD flux détermine l'applicabilité de l'environnement de données pour les titulaires de cartes () PCIDSS, définit les limites et les composants d'un environnement de données pour les titulaires de cartes (CDE) et, par conséquent, le champ d'application d'une PCI DSS évaluation. La détermination précise du PCI DSS champ d'application est essentielle pour définir la posture de sécurité et, en fin de compte, une évaluation réussie. Les clients doivent disposer d'une procédure de détermination du champ d'application garantissant son exhaustivité et détectant les modifications ou les écarts.

La nature temporaire des applications conteneurisées complique encore davantage l'audit des configurations. Par conséquent, les clients doivent rester informés de tous les paramètres de configuration des conteneurs afin de garantir le respect des exigences de conformité tout au long du cycle de vie d'un conteneur.

Pour plus d'informations sur PCI DSS la conformité sur AmazonECS, consultez les livres blancs suivants.

• Conception de l'architecture sur Amazon à des ECS fins de conformité PCI DSS

• Architecture pour le PCI DSS cadrage et la segmentation sur AWS

HIPAA(U.S. Health Insurance Portability and Accountability Act)

L'utilisation d'Amazon ECS avec des charges de travail qui traitent des informations de santé protégées (PHI) ne nécessite aucune configuration supplémentaire. Amazon ECS agit comme un service d'orchestration qui coordonne le lancement de conteneurs sur AmazonEC2. Il ne fonctionne pas avec ou sur les données de la charge de travail orchestrée. Conformément aux HIPAA réglementations et à l' AWS Business Associate Addendum, PHI doit être chiffrée en transit et au repos lorsqu'elles sont consultées par des conteneurs lancés avec Amazon. ECS

Différents mécanismes de chiffrement au repos sont disponibles avec chaque option AWS de stockage, tels qu'Amazon S3EBS, Amazon et. AWS KMS Vous pouvez déployer un réseau superposé (tel que VNS3 Weave Net) pour garantir le chiffrement complet des PHI transferts entre les conteneurs ou pour fournir une couche de chiffrement redondante. La journalisation complète doit également être activée et tous les journaux des conteneurs doivent être dirigés vers Amazon CloudWatch. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans Pilier Sécurité du cadre AWS Well‐Architected.

AWS Security Hub

Utilisez AWS Security Hub pour surveiller votre utilisation d'Amazon, ECS car cela est lié aux bonnes pratiques de sécurité. Security Hub utilise des contrôles pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à respecter divers cadres de conformité. Pour plus d'informations sur l'utilisation de Security Hub pour évaluer les ECS ressources Amazon, consultez Amazon ECS Controls dans le guide de AWS Security Hub l'utilisateur.

Amazon GuardDuty avec Amazon ECS Runtime Monitoring

Amazon GuardDuty est un service de détection des menaces qui aide à protéger vos comptes, vos conteneurs, vos charges de travail et les données de votre AWS environnement. À l'aide de modèles d'apprentissage automatique (ML) et de capacités de détection des anomalies et des menaces, vous surveillez GuardDuty en permanence les différentes sources de journaux et l'activité d'exécution afin d'identifier et de hiérarchiser les risques de sécurité potentiels et les activités malveillantes dans votre environnement.

Utilisez Runtime Monitoring GuardDuty pour identifier les comportements malveillants ou non autorisés. La surveillance du temps d'exécution protège les charges de travail exécutées sur Fargate EC2 et en AWS surveillant en permanence l'activité des journaux et du réseau afin d'identifier les comportements malveillants ou non autorisés. La surveillance d'exécution utilise un agent de GuardDuty sécurité léger et entièrement géré qui analyse le comportement sur l'hôte, comme l'accès aux fichiers, l'exécution des processus et les connexions réseau. Cela couvre les problèmes comme les escalades de privilèges, l'utilisation d'informations d'identification exposées ou la communication avec des adresses IP, des domaines malveillants ou la présence de logiciels malveillants sur vos EC2 instances Amazon et les charges de travail de conteneur. Pour plus d'informations, consultez la section Surveillance du temps GuardDuty d'exécution dans le guide de GuardDuty l'utilisateur.

Recommandations de conformité

Vous devez impliquer rapidement les responsables des programmes de conformité au sein de votre entreprise et utiliser le modèle de responsabilité partagée AWS pour identifier les responsables du contrôle de conformité afin de réussir avec ces programmes.