Amazon ECS에 대한 규정 준수 및 보안 모범 사례 - Amazon Elastic Container Service
PCI DSS(지불 카드 산업 데이터 보안 표준) 미국 건강 보험 양도 및 책임에 관한 법(HIPAA) AWS Security HubAmazon ECS Runtime Monitoring이 포함된 Amazon GuardDuty규정 준수 권장 사항

Amazon ECS에 대한 규정 준수 및 보안 모범 사례

Amazon ECS 사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표, 관련 법률 및 규정에 따라 결정됩니다.

PCI DSS(지불 카드 산업 데이터 보안 표준)

PCI DSS를 준수할 때는 환경 내 카드 소유자 데이터(CHD)의 전체 흐름을 이해하는 일이 중요합니다. CHD 흐름에 따라 PCI DSS의 적용 가능성이 결정되고, 카드 소유자 데이터 환경(CDE)의 경계와 구성 요소가 정의되므로, PCI DSS 평가의 범위도 정해집니다. PCI DSS 범위를 정확히 결정하는 일은 보안 태세를 정의하는 데 핵심이며, 궁극적으로 평가 성공으로 이어집니다. 고객은 범위의 완전성을 보장하고 범위에서 변경되거나 벗어나는 사항을 감지하는 범위 결정을 위한 절차를 마련해야 합니다.

컨테이너식 애플리케이션의 일시적인 특성으로 인해 구성을 감사할 때 복잡성이 추가됩니다. 따라서 고객은 컨테이너 수명 주기의 전체 단계에서 규정 준수 요구 사항이 충족되도록 모든 컨테이너 구성 파라미터를 지속적으로 파악해야 합니다.

Amazon ECS에서 PCI DSS 규정 준수를 달성하는 방법에 대한 자세한 내용은 다음 백서를 참조하세요.

미국 건강 보험 양도 및 책임에 관한 법(HIPAA)

보호 대상 건강 정보(PHI)를 처리하는 워크로드와 함께 Amazon ECS를 사용하면 추가 구성이 필요하지 않습니다. Amazon ECS는 Amazon EC2에서 컨테이너 시작을 조정하는 오케스트레이션 서비스 역할을 합니다. 오케스트레이션되는 워크로드 내의 데이터와 관련해서는 작동하지 않습니다. HIPAA 규정 및 AWS 비즈니스 관련자 부록에 따라 PHI는 Amazon ECS에서 시작된 컨테이너에서 액세스하는 경우 전송 중 및 저장 시 암호화해야 합니다.

Amazon S3, Amazon EBS 및 AWS KMS와 같은 각 AWS 스토리지 옵션과 함께 저장 시 암호화하기 위한 다양한 메커니즘을 사용할 수 있습니다. 오버레이 네트워크(예: VNS3 또는 Weave Net)를 배포하여 컨테이너 간에 전송되는 PHI를 완전히 암호화하거나 중복 암호화 계층을 제공할 수 있습니다. 또한 전체 로깅을 활성화하고 모든 컨테이너 로그를 Amazon CloudWatch로 전달해야 합니다. 인프라 보안에 대한 모범 사례를 사용하는 방법을 자세히 알아보려면 보안 원칙 AWS Well‐Architected Framework인프라 보호를 참조하세요.

AWS Security Hub

AWS Security Hub를 사용합니다. 이 AWS 서비스는 AWS 내 보안 상태에 대한 포괄적인 보기를 제공합니다. Security Hub는 보안 컨트롤을 사용하여 AWS리소스를 평가하고 보안 업계 표준 및 모범 사례에 대한 규정 준수를 확인합니다. 지원되는 서비스 및 제어 목록은 Security Hub 제어 참조를 참조하세요.

Amazon ECS Runtime Monitoring이 포함된 Amazon GuardDuty

Amazon GuardDuty는 AWS 환경 내 계정, 컨테이너, 워크로드 및 데이터를 보호하는 데 도움이 되는 위협 감지 서비스입니다. GuardDuty는 기계 학습(ML) 모델, 이상 및 위협 감지 기능을 통해 다양한 로그 소스와 런타임 활동을 지속적으로 모니터링하여 사용자 환경의 잠재적 보안 위험과 악의적 활동을 식별하고 우선순위를 지정합니다.

GuardDuty의 Runtime Monitoring을 사용하여 악의적 또는 무단 동작을 식별합니다. Runtime Monitoring은 AWS 로그 및 네트워킹 활동을 지속적으로 모니터링하여 악의적 동작 또는 무단 동작을 식별함으로써 Fargate 및 EC2에서 실행되는 워크로드를 보호합니다. Runtime Monitoring은 파일 액세스, 프로세스 실행 및 네트워크 연결과 같은 호스트 내 동작을 분석하는 경량의 완전관리형 GuardDuty 보안 에이전트를 사용합니다. 여기에는 권한 에스컬레이션, 노출된 자격 증명 사용 또는 악의적인 IP 주소 및 도메인과의 통신, 그리고 Amazon EC2 인스턴스 및 컨테이너 워크로드에 존재하는 맬웨어 같은 문제가 포함됩니다. 자세한 내용은 GuardDuty 사용 설명서의 GuardDuty Runtime Monitoring을 참조하세요.

규정 준수 권장 사항

규정 준수 프로그램 소유자를 조기에 비즈니스에 참여시키고 AWS 공동 책임 모델을 사용하여 관련 규정 준수 프로그램의 성공을 위해 규정 준수 제어 소유권을 식별하는 것이 좋습니다. 자세한 내용은 Amazon ECS에 대한 AWS 공동 책임 모델 섹션을 참조하세요.