Padrões de segurança de dados do setor de cartão de pagamento (PCI DSS) HIPAA (Lei de Portabilidade e Responsabilidade de Provedores de Saúde dos EUA) AWS Security Hub Amazon GuardDuty com monitoramento de runtime para o Amazon ECS Recomendações sobre conformidade

Práticas recomendadas de conformidade e de segurança para o Amazon ECS

Sua responsabilidade pela conformidade ao usar o Amazon ECS é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelas leis e regulamentações aplicáveis.

Padrões de segurança de dados do setor de cartão de pagamento (PCI DSS)

É importante que você entenda o fluxo completo de dados do titular do cartão (CHD) no ambiente ao aderir ao PCI DSS. O fluxo de CHD determina a aplicabilidade do PCI DSS, define os limites e os componentes de um ambiente de dados do titular do cartão (CDE) e, portanto, o escopo de uma avaliação do PCI DSS. A determinação precisa do escopo do PCI DSS é fundamental para definir a postura de segurança e, por fim, uma avaliação bem-sucedida. Os clientes devem ter um procedimento para determinação do escopo que garanta sua integridade e detecte alterações ou desvios do escopo.

A natureza temporária das aplicações em contêineres fornece complexidades adicionais à auditoria de configurações. Como resultado, os clientes precisam estar cientes de todos os parâmetros de configuração do contêiner para garantir que os requisitos de conformidade sejam atendidos em todas as fases do ciclo de vida do contêiner.

Para obter informações adicionais sobre como alcançar a compatibilidade com o PCI DSS no Amazon ECS, consulte os whitepapers a seguir.

Arquitetura no Amazon ECS para conformidade com o PCI DSS

HIPAA (Lei de Portabilidade e Responsabilidade de Provedores de Saúde dos EUA)

Usar o Amazon ECS com workloads que processem informações de saúde protegidas (PHI) não requer configuração adicional. O Amazon ECS atua como um serviço de orquestração que coordena o início de contêineres no Amazon EC2. Ele não opera com ou sobre dados dentro da workload que está sendo orquestrada. Consistente com as regulamentações da HIPAA e com o Adendo de Associado Comercial da AWS, as PHI devem ser criptografadas em trânsito e em repouso quando acessadas por contêineres iniciados pelo Amazon ECS.

Vários mecanismos para criptografia em repouso estão disponíveis com cada opção de armazenamento da AWS, como o Amazon S3o , Amazon EBS e o AWS KMS. É possível implantar uma rede de sobreposição (como VNS3 ou Weave Net) para garantir a criptografia completa das PHI transferidas entre contêineres ou para fornecer uma camada redundante de criptografia. Recomenda-se também usar o log completo e direcionar todos os logs de contêiner para o Amazon CloudWatch. Para obter informações sobre o uso das práticas recomendadas de segurança da infraestrutura, consulte Proteção da infraestrutura em Pilar de segurança: AWS Well‐Architected Framework.

AWS Security Hub

Use AWS Security Hub. Este AWS service (Serviço da AWS) fornece uma visão abrangente do seu estado de segurança na AWS. O Security Hub usa controles de segurança para avaliar os recursos da AWS e verificar a conformidade com os padrões e as práticas recomendadas do setor de segurança. Para obter uma lista dos serviços e controles aceitos, consulte a Referência de controles do Security Hub.

Amazon GuardDuty com monitoramento de runtime para o Amazon ECS

O Amazon GuardDuty é um serviço de detecção de ameaças que ajuda a proteger contas, contêineres, workloads e dados no ambiente da AWS. Usando modelos de machine learning (ML) e recursos de detecção de anomalias e ameaças, o GuardDuty monitora continuamente diferentes fontes de log e atividades de runtime para identificar e priorizar possíveis riscos de segurança e atividades maliciosas no seu ambiente.

Use o monitoramento de runtime no GuardDuty para identificar comportamentos maliciosos ou não autorizados. O monitoramento de runtime protege as workloads em execução no Fargate e no EC2 monitorando continuamente as atividades de log e rede da AWS para identificar comportamentos maliciosos ou não autorizados. O monitoramento de runtime usa um agente de segurança do GuardDuty leve e totalmente gerenciado que analisa o comportamento no host, como acesso a arquivos, execução de processos e conexões de rede. Isso inclui problemas como escalação de privilégios, uso de credenciais expostas, comunicação com endereços IP ou domínios maliciosos e a presença de malware nas instâncias e workloads de contêiner do Amazon EC2. Para obter mais informações, consulte GuardDuty Runtime Monitoring no Guia do usuário do GuardDuty.

Recomendações sobre conformidade

Recomenda-se envolver os proprietários do programa de conformidade em sua empresa desde o início e usar o modelo de responsabilidade compartilhada da AWS para identificar a propriedade do controle de conformidade para obter sucesso com os programas de conformidade relevantes. Para obter mais informações, consulte Modelo de responsabilidade compartilhada da AWS para o Amazon ECS .

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Validação de compatibilidade

Conformidade com o FIPS-140 do AWS Fargate