Considerações Use FIPS no Fargate Use o CloudTrail para auditoria

Padrão Federal de Processamento de Informações (FIPS-140) do AWS Fargate

Padrão Federal de Processamento de Informações (FIPS) O FIPS-140 é um padrão do governo americano e canadense que especifica os requisitos de segurança para módulos criptográficos que protegem informações sigilosas. O FIPS-140 define um conjunto de funções criptográficas validadas que podem ser usadas para criptografar dados em trânsito e dados em repouso.

Ao ativar a conformidade com o FIPS-140, é possível executar workloads no Fargate de forma compatível com o FIPS-140. Para obter mais informações sobre a conformidade com o FIPS-140, consulte Padrão Federal de Processamento de Informações (FIPS) 140-2.

Considerações

Considere o seguinte ao usar a conformidade com FIPS-140 no Fargate:

A conformidade com o FIPS-140 está disponível somente nas regiões AWS GovCloud (US).
A conformidade com FIPS-140 está desativada por padrão. Você deve ativá-la.
Suas tarefas devem usar a configuração a seguir para conformidade com o FIPS-140:
- O operatingSystemFamily deve ser LINUX.
- O cpuArchitecture deve ser X86_64.
- A versão da plataforma Fargate deve ser 1.4.0 ou posterior.

Use FIPS no Fargate

Use o procedimento a seguir para usar a conformidade com FIPS-140 no Fargate.

Ative a conformidade com o FIPS-140. Para ter mais informações, consulte Conformidade do AWS Fargate com o Padrão Federal de Processamento de Informações (FIPS-140).
Opcionalmente, é possível usar o ECS Exec para executar o comando a seguir para verificar o status de conformidade com o FIPS-140 de um cluster.

Substitua my-cluster pelo nome do cluster.

Um valor de retorno de “1" indica que você está usando FIPS.
```
aws ecs execute-command --cluster cluster-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"
```

Use o CloudTrail para auditoria

O CloudTrail é ativado na conta da AWS quando ela é criada. Quando ocorre uma atividade de API e console no Amazon ECS, esta atividade é registrada em um evento do CloudTrail junto com outros eventos de serviço da AWS no Histórico de eventos. É possível visualizar, pesquisar e baixar eventos recentes em sua conta da AWS. Para obter mais informações, consulte Visualização de eventos com o histórico de eventos do CloudTrail.

Para obter um registro contínuo de eventos na sua conta da AWS, incluindo eventos do Amazon ECS, crie uma trilha que o CloudTrail use para entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões. A trilha registra em log eventos de todas as Regiões na partição da AWS e entrega os arquivos de log para o bucket do Amazon S3 especificado por você. Além disso, é possível configurar outros AWS serviços para melhor analisar e agir de acordo com dados coletados do evento nos logs do CloudTrail. Para ter mais informações, consulte Registro em log das chamadas de API do Amazon ECS usando o AWS CloudTrail.

O exemplo a seguir mostra uma entrada de log do CloudTrail que demonstra a ação de API PutAccountSettingDefault:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Validação de compatibilidade

Segurança da infraestrutura