Bonnes pratiques en matière de conformité et de sécurité pour Amazon ECS - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques en matière de conformité et de sécurité pour Amazon ECS

Votre responsabilité de conformité lors de l'utilisation d'Amazon ECS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise, ainsi que par la législation et la réglementation en vigueur.

AWS fournit les ressources suivantes pour faciliter la mise en conformité :

Normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS)

Il est important que vous compreniez le flux complet des données des titulaires de cartes (CHD) au sein de l'environnement lorsque vous adhérez à la norme PCI DSS. Le flux CHD détermine l'applicabilité de la norme PCI DSS, définit les limites et les composants d'un environnement de données pour les titulaires de cartes (CDE) et, par conséquent, le champ d'application d'une évaluation PCI DSS. La détermination précise du champ d'application de la norme PCI DSS est essentielle pour définir la posture de sécurité et, en fin de compte, une évaluation réussie. Les clients doivent disposer d'une procédure de détermination du champ d'application garantissant son exhaustivité et détectant les modifications ou les écarts.

La nature temporaire des applications conteneurisées complique encore davantage l'audit des configurations. Par conséquent, les clients doivent rester informés de tous les paramètres de configuration des conteneurs afin de garantir le respect des exigences de conformité tout au long du cycle de vie d'un conteneur.

Pour plus d'informations sur la conformité à la norme PCI DSS sur Amazon ECS, consultez les livres blancs suivants.

HIPAA (U.S. Health Insurance Portability and Accountability Act)

L'utilisation d'Amazon ECS avec des charges de travail qui traitent des informations de santé protégées (PHI) ne nécessite aucune configuration supplémentaire. Amazon ECS agit comme un service d'orchestration qui coordonne le lancement de conteneurs sur Amazon EC2. Il ne fonctionne pas avec ou sur les données de la charge de travail orchestrée. Conformément aux réglementations HIPAA et à l' AWS Business Associate Addendum, les PHI doivent être chiffrées en transit et au repos lorsqu'elles sont consultées par des conteneurs lancés avec Amazon ECS.

Différents mécanismes de chiffrement au repos sont disponibles avec chaque option AWS de stockage, tels qu'Amazon S3, Amazon EBS et. AWS KMS Vous pouvez déployer un réseau superposé (tel que VNS3 ou Weave Net) pour garantir le chiffrement complet des PHI transférées entre les conteneurs ou pour fournir une couche de chiffrement redondante. La journalisation complète doit également être activée et tous les journaux des conteneurs doivent être dirigés vers Amazon CloudWatch. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

AWS Security Hub

AWS Security Hub À utiliser pour surveiller votre utilisation d'Amazon ECS en ce qui concerne les meilleures pratiques en matière de sécurité. Security Hub utilise des contrôles pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à respecter divers cadres de conformité. Pour plus d'informations sur l'utilisation de Security Hub pour évaluer les ressources Amazon ECS, veuillez consulter Contrôles d'Amazon ECS dans le Guide de l'utilisateur AWS Security Hub (langue française non garantie).

Amazon GuardDuty avec Amazon ECS Runtime Monitoring

Amazon GuardDuty est un service de détection des menaces qui aide à protéger vos comptes, vos conteneurs, vos charges de travail et les données de votre AWS environnement. À l'aide de modèles d'apprentissage automatique (ML) et de capacités de détection des anomalies et des menaces, vous surveillez GuardDuty en permanence les différentes sources de journaux et l'activité d'exécution afin d'identifier et de hiérarchiser les risques de sécurité potentiels et les activités malveillantes dans votre environnement.

Utilisez Runtime Monitoring GuardDuty pour identifier les comportements malveillants ou non autorisés. La surveillance du temps d'exécution protège les charges de travail exécutées sur Fargate et EC2 en AWS surveillant en permanence l'activité des journaux et du réseau afin d'identifier les comportements malveillants ou non autorisés. Runtime Monitoring utilise un agent de GuardDuty sécurité léger et entièrement géré qui analyse le comportement sur l'hôte, tel que l'accès aux fichiers, l'exécution des processus et les connexions réseau. Cela couvre des problèmes tels que l'augmentation des privilèges, l'utilisation d'informations d'identification divulguées ou la communication avec des adresses IP ou des domaines malveillants, ainsi que la présence de logiciels malveillants sur vos instances Amazon EC2 et vos charges de travail de conteneur. Pour plus d'informations, consultez la section Surveillance du temps GuardDuty d'exécution dans le guide de GuardDuty l'utilisateur.

Recommandations en matière de conformité

Vous devez impliquer rapidement les responsables des programmes de conformité au sein de votre entreprise et utiliser le modèle de responsabilité partagée AWS pour identifier les responsables du contrôle de conformité afin de réussir avec ces programmes.