Amazon Elastic Container Service - Architecting for HIPAA Security and Compliance on Amazon Web Services

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon Elastic Container Service

Amazon Elastic Container Service (Amazon ECS) è un servizio di gestione dei container altamente scalabile e ad alte prestazioni che supporta i contenitori Docker e consente ai clienti di eseguire facilmente applicazioni su un cluster gestito di istanze Amazon EC2. Amazon ECS elimina la necessità per i clienti di installare, gestire e scalare la propria infrastruttura di gestione dei cluster.

Con semplici chiamate API, i clienti possono avviare e interrompere applicazioni compatibili con Docker, interrogare lo stato completo del cluster e accedere a molte funzionalità familiari come gruppi di sicurezza, Elastic Load Balancing, volumi EBS e ruoli IAM. I clienti possono utilizzare Amazon ECS per pianificare il posizionamento dei container nel proprio cluster in base alle esigenze di risorse e ai requisiti di disponibilità.

L'utilizzo di ECS con carichi di lavoro che elaborano PHI non richiede alcuna configurazione aggiuntiva. ECS funge da servizio di orchestrazione che coordina il lancio dei container (le cui immagini sono archiviate in S3) su EC2 e non funziona con o sui dati all'interno del carico di lavoro da orchestrare. In linea con le normative HIPAA e il AWS Business Associate Addendum, i PHI devono essere crittografati in transito e a riposo quando vi si accede dai container lanciati con ECS. Per ogni opzione di AWS storage sono disponibili diversi meccanismi di crittografia a riposo (ad esempio, S3, EBS e KMS). Garantire la crittografia completa dei PHI inviati tra i container può anche indurre i clienti a implementare una rete overlay (come VNS3, Weave Net o simili), al fine di fornire un livello di crittografia ridondante. Tuttavia, è necessario abilitare anche la registrazione completa (ad esempio, tramite CloudTrail) e indirizzare tutti i registri delle istanze del contenitore a. CloudWatch

L'utilizzo di Firelens e AWS per Fluent Bit con carichi di lavoro che elaborano PHI non richiede alcuna configurazione aggiuntiva, a meno che i log non contengano PHI. Se i registri contengono PHI, non devono essere emessi nei file di registro, a meno che la crittografia del disco non sia abilitata. Configura invece l'applicazione in modo che emetta i log in formato standard out/error, che verranno raccolti automaticamente da. FireLens Analogamente, non attivate il buffering dei file per Fluent Bit, a meno che non sia abilitata anche la crittografia del disco. Infine, la destinazione dei log deve essere supportata encryption-in-transit; tutti i plugin di output del AWS servizio in AWS for Fluent Bit utilizzeranno sempre la crittografia TLS per esportare i log.