AWS Fargate Pertimbangan FIPS-140 Gunakan FIPS di Fargate Gunakan CloudTrail untuk audit Fargate FIPS-140

AWS Fargate Standar Pemrosesan Informasi Federal (FIPS-140)

Standar Pemrosesan Informasi Federal (FIPS). FIPS-140 adalah standar pemerintah AS dan Kanada yang menetapkan persyaratan keamanan untuk modul kriptografi yang melindungi informasi sensitif. FIPS-140 mendefinisikan satu set fungsi kriptografi yang divalidasi yang dapat digunakan untuk mengenkripsi data dalam transit dan data saat istirahat.

Saat Anda mengaktifkan kepatuhan FIPS-140, Anda dapat menjalankan beban kerja di Fargate dengan cara yang sesuai dengan FIPS-140. Untuk informasi selengkapnya tentang kepatuhan FIPS-140, lihat Federal Information Processing Standard (FIPS) 140-2.

AWS Fargate Pertimbangan FIPS-140

Pertimbangkan hal berikut saat menggunakan kepatuhan FIPS-140 pada Fargate:

Kepatuhan FIPS-140 hanya tersedia di Wilayah. AWS GovCloud (US)
Kepatuhan FIPS-140 dimatikan secara default. Anda harus menyalakannya.
Tugas Anda harus menggunakan konfigurasi berikut untuk kepatuhan FIPS-140:
- operatingSystemFamilyPastiLINUX.
- cpuArchitecturePastiX86_64.
- Versi platform Fargate harus 1.4.0 atau lebih baru.

Gunakan FIPS di Fargate

Gunakan prosedur berikut untuk menggunakan kepatuhan FIPS-140 pada Fargate.

Nyalakan kepatuhan FIPS-140. Untuk informasi selengkapnya, lihat AWS Fargate Kepatuhan Standar Pemrosesan Informasi Federal (FIPS-140).
Anda dapat menggunakan ECS Exec secara opsional untuk menjalankan perintah berikut untuk memverifikasi status kepatuhan FIPS-140 untuk sebuah cluster.

Ganti cluster-name dengan nama cluster Anda, task-id dengan ID atau ARN tugas Anda, dan container-name dengan nama penampung dalam tugas Anda, Anda ingin menjalankan perintah terhadap.

Nilai pengembalian “1" menunjukkan bahwa Anda menggunakan FIPS.
```
aws ecs execute-command \
    --cluster cluster-name \
    --task task-id \
    --container container-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"
```

Gunakan CloudTrail untuk audit Fargate FIPS-140

CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Saat aktivitas API dan konsol terjadi di Amazon ECS, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat Peristiwa. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat Melihat Acara dengan Riwayat CloudTrail Acara.

Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk peristiwa untuk Amazon ECS, buat jejak yang CloudTrail digunakan untuk mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di konsol, jejak ini diterapkan ke semua Wilayah. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat Log panggilan Amazon ECS API menggunakan AWS CloudTrail.

Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan tindakan PutAccountSettingDefault API:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Praktik terbaik kepatuhan dan keamanan

Keamanan Infrastruktur