Amazon Elastic Container Service - Architecting for HIPAA Security and Compliance on Amazon Web Services

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon Elastic Container Service

Amazon Elastic Container Service (Amazon ECS) est un service de gestion de conteneurs hautement évolutif et performant qui prend en charge les conteneurs Docker et permet aux clients d'exécuter facilement des applications sur un cluster géré d'instances Amazon EC2. Amazon ECS évite aux clients d'installer, d'exploiter et de faire évoluer leur propre infrastructure de gestion de clusters.

À l'aide de simples appels d'API, les clients peuvent lancer et arrêter des applications compatibles Docker, demander l'état complet de leur cluster et accéder à de nombreuses fonctionnalités familières telles que les groupes de sécurité, Elastic Load Balancing, les volumes EBS et les rôles IAM. Les clients peuvent utiliser Amazon ECS pour planifier le placement des conteneurs dans leur cluster en fonction de leurs besoins en ressources et de leurs exigences de disponibilité.

L'utilisation d'ECS avec des charges de travail traitant des PHI ne nécessite aucune configuration supplémentaire. ECS agit comme un service d'orchestration qui coordonne le lancement de conteneurs (dont les images sont stockées dans S3) sur EC2, et il ne fonctionne pas avec ou sur les données de la charge de travail orchestrée. Conformément aux réglementations HIPAA et au AWS Business Associate Addendum, les PHI doivent être chiffrés en transit et au repos lorsqu'ils sont accessibles par des conteneurs lancés avec ECS. Différents mécanismes de chiffrement au repos sont disponibles avec chaque option de AWS stockage (par exemple, S3, EBS et KMS). Garantir le chiffrement complet des PHI envoyés entre les conteneurs peut également amener les clients à déployer un réseau superposé (tel que VNS3, Weave Net ou similaire), afin de fournir une couche de chiffrement redondante. Néanmoins, la journalisation complète doit également être activée (par exemple, via CloudTrail), et tous les journaux des instances de conteneur doivent être dirigés vers CloudWatch.

L'utilisation de Firelens et AWS de Fluent Bit avec des charges de travail traitant des PHI ne nécessite aucune configuration supplémentaire, sauf si les journaux contiennent des PHI. Si les journaux contiennent des données PHI, ils ne doivent pas être envoyés dans des fichiers journaux, sauf si le chiffrement du disque est activé. Configurez plutôt votre application pour qu'elle émette des journaux en sortie standard ou en erreur, qui seront automatiquement collectés par. FireLens De même, n'activez pas la mise en mémoire tampon des fichiers pour Fluent Bit, sauf si le chiffrement du disque est également activé. Enfin, la destination des journaux doit être compatible encryption-in-transit ; tous les plug-ins de sortie de AWS service d'AWS pour Fluent Bit utiliseront toujours le chiffrement TLS pour exporter les journaux.