本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您使用 Amazon ECS 時的合規責任取決於資料的敏感度、您公司的合規目標及適用的法律和法規。
AWS 提供下列資源以協助合規:
-
安全與合規快速入門指南
:這些部署指南討論架構考量,並提供在其中部署安全和以合規為中心之基準環境的步驟 AWS。 -
HIPAA 安全與合規架構白皮書:此白皮書說明公司如何使用 AWS 來建立符合 HIPAA 規範的應用程式。
-
合規計劃範圍內的AWS 服務
:此清單包含特定合規計劃範圍內的 AWS 服務。如需詳細資訊,請參閱 AWS 合規計劃 。
支付卡產業資料安全標準 (PCI DSS)
在遵守 PCI DSS 時,請務必了解環境中持卡人資料 (CHD) 的完整流程。CHD 流程決定 PCI DSS 的適用性、定義持卡人資料環境 (CDE) 的界限和元件,以及 PCI DSS 評估的範圍。精確判斷 PCI DSS 範圍是定義安全狀態以及最終成功評估的關鍵。客戶必須具備範圍判定程序,以確保其完整性並偵測範圍的變更或偏離。
容器化應用程式的暫時性本質可在稽核組態時提供其他的複雜性。因此,客戶需要保持所有容器組態參數的感知,以確保在容器生命週期的所有階段都能滿足合規要求。
如需有關 Amazon ECS 上實現 PCI DSS 合規的其他資訊,請參閱下列白皮書。
HIPAA (美國健康保險流通與責任法案)
將 Amazon ECS 與處理受保護醫療資訊 (PHI) 的工作負載搭配使用,無需額外設定。Amazon ECS 充當協同運作服務,可協調在 Amazon EC2 上啟動容器的情況。其不會與正協同運作的工作負載中的資料一起運作,或對資料進行操作。符合 HIPAA 法規和 AWS 商業夥伴增補合約,在使用 Amazon ECS 啟動的容器存取時,PHI 應該在傳輸過程中和靜態加密。
每個 AWS 儲存選項都有各種加密靜態機制,例如 Amazon S3、Amazon EBS 和 AWS KMS。您可以部署覆蓋網路 (例如 VMS3 或 Weave Net),以確保在容器之間傳輸的 PHI 完全加密,或提供備援加密層。也應啟用完整的記錄功能,並應將所有容器日誌導向至 Amazon CloudWatch。若要使用基礎設施安全的最佳實務設計您的 AWS 環境,請參閱 Security Pillar AWS Well-Architected Framework 中的基礎設施保護。
AWS Security Hub
使用 AWS Security Hub 來監控 Amazon ECS 的使用,因為它與安全最佳實務相關。Security Hub 會使用控制來評估資源組態和安全標準,協助您遵守各種合規架構。如需有關使用 Security Hub 評估 Amazon ECS 資源的詳細資訊,請參閱《AWS Security Hub 使用者指南》中的 Amazon ECS 控制項。
Amazon GuardDuty 搭配 Amazon ECS 執行期監控
Amazon GuardDuty 是一種威脅偵測服務,可協助保護您的帳戶、容器、工作負載和 AWS 環境中的資料。GuardDuty 使用機器學習 (ML) 模型,以及異常和威脅偵測功能,持續監控不同的日誌來源和執行時間活動,以識別環境中的潛在安全風險和惡意活動,並排定其優先順序。
在 GuardDuty 中使用執行期監控來識別惡意或未經授權的行為。執行期監控透過持續監控 AWS 日誌和聯網活動,以識別惡意或未經授權的行為,來保護 Fargate 和 EC2 上執行的工作負載。執行期監控使用輕量且全受管的 GuardDuty 安全代理程式,可分析主機上行為,例如檔案存取、程序執行和網路連線。這涵蓋的問題包括權限升級、使用公開的登入資料,或與惡意 IP 地址、網域的通訊,以及 Amazon EC2 執行個體和容器工作負載上存在惡意軟體。如需詳細資訊,請參閱《GuardDuty 使用者指南》中的 GuardDuty 執行期監控。 GuardDuty
合規建議
您應該儘早讓合規計劃擁有者參與您的企業,並使用 AWS 共同的責任模型
