Práticas recomendadas de conformidade e de segurança para o Amazon ECS

Sua responsabilidade pela conformidade ao usar o Amazon ECS é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentos e leis aplicáveis.

A AWS fornece os seguintes recursos para ajudar com a conformidade:

• Guias de início rápido de segurança e conformidade: esses guias de implantação abordam as considerações de arquitetura e fornecem etapas para a implantação de ambientes de linha de base concentrados em conformidade e segurança na AWS.

• Whitepaper Arquitetura para segurança e conformidade com HIPAA: esse whitepaper descreve como as empresas podem usar a AWS para criar aplicações em conformidade com a HIPAA.

• Serviços da AWS em escopo por programa de conformidade: essa lista contém os serviços da AWS no escopo de programas de conformidade específicos. Para obter mais informações, consulte Programas de conformidade da AWS.

Padrões de segurança de dados do setor de cartão de pagamento (PCI DSS)

É importante que você entenda o fluxo completo de dados do titular do cartão (CHD) no ambiente ao aderir ao PCI DSS. O fluxo de CHD determina a aplicabilidade do PCI DSS, define os limites e os componentes de um ambiente de dados do titular do cartão (CDE) e, portanto, o escopo de uma avaliação do PCI DSS. A determinação precisa do escopo do PCI DSS é fundamental para definir a postura de segurança e, por fim, uma avaliação bem-sucedida. Os clientes devem ter um procedimento para determinação do escopo que garanta sua integridade e detecte alterações ou desvios do escopo.

A natureza temporária das aplicações em contêineres fornece complexidades adicionais à auditoria de configurações. Como resultado, os clientes precisam estar cientes de todos os parâmetros de configuração do contêiner para garantir que os requisitos de conformidade sejam atendidos em todas as fases do ciclo de vida do contêiner.

Para obter informações adicionais sobre como alcançar a compatibilidade com o PCI DSS no Amazon ECS, consulte os whitepapers a seguir.

• Arquitetura no Amazon ECS para conformidade com o PCI DSS

• Arquitetura para escopo e segmentação do PCI DSS na AWS

HIPAA (Lei de Portabilidade e Responsabilidade de Provedores de Saúde dos EUA)

Usar o Amazon ECS com workloads que processem informações de saúde protegidas (PHI) não requer configuração adicional. O Amazon ECS atua como um serviço de orquestração que coordena o início de contêineres no Amazon EC2. Ele não opera com ou sobre dados dentro da workload que está sendo orquestrada. Consistente com as regulamentações da HIPAA e com o Adendo de Associado Comercial da AWS, as PHI devem ser criptografadas em trânsito e em repouso quando acessadas por contêineres iniciados pelo Amazon ECS.

Vários mecanismos para criptografia em repouso estão disponíveis com cada opção de armazenamento da AWS, como o Amazon S3o , Amazon EBS e o AWS KMS. É possível implantar uma rede de sobreposição (como VNS3 ou Weave Net) para garantir a criptografia completa das PHI transferidas entre contêineres ou para fornecer uma camada redundante de criptografia. O registro em log completo também deve ser habilitado e todos os logs de contêineres devem ser direcionados para o Amazon CloudWatch. Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte Proteção de Infraestrutura em Pilar de Segurança: AWS Well‐Architected Framework.

AWS Security Hub

Use o AWS Security Hub para monitorar seu uso do Amazon ECS relação às práticas recomendadas de segurança. O Security Hub usa controles de segurança para avaliar configurações de recursos e padrões de segurança que ajudam você a cumprir vários frameworks de conformidade. Para obter mais informações sobre como usar o Security Hub para avaliar os recursos do Amazon ECS, consulte Controles do Amazon ECS no Guia do usuário do AWS Security Hub.

Amazon GuardDuty com monitoramento de runtime para o Amazon ECS

O Amazon GuardDuty é um serviço de detecção de ameaças que ajuda a proteger contas, contêineres, workloads e dados no ambiente da AWS. Usando modelos de machine learning (ML) e recursos de detecção de anomalias e ameaças, o GuardDuty monitora continuamente diferentes fontes de log e atividades de runtime para identificar e priorizar possíveis riscos de segurança e atividades maliciosas no seu ambiente.

Use o monitoramento de runtime no GuardDuty para identificar comportamentos maliciosos ou não autorizados. O monitoramento de runtime protege as workloads em execução no Fargate e no EC2 monitorando continuamente as atividades de log e rede da AWS para identificar comportamentos maliciosos ou não autorizados. O monitoramento de runtime usa um agente de segurança do GuardDuty leve e totalmente gerenciado que analisa o comportamento no host, como acesso a arquivos, execução de processos e conexões de rede. Isso inclui problemas como escalação de privilégios, uso de credenciais expostas, comunicação com endereços IP ou domínios maliciosos e a presença de malware nas instâncias e workloads de contêiner do Amazon EC2. Para obter mais informações, consulte GuardDuty Runtime Monitoring no Guia do usuário do GuardDuty.

Recomendações sobre conformidade

Você deve envolver os proprietários do programa de conformidade em sua empresa desde o início e usar o Modelo de responsabilidade compartilhada da AWS para identificar a propriedade do controle de conformidade para obter sucesso com os programas de conformidade relevantes.