Amazon ECS 的合規和安全性最佳實務

您使用 Amazon ECS 時的合規責任取決於資料的敏感度、公司的合規目標，以及適用的法律和法規。

支付卡產業資料安全標準 (PCI DSS)

在遵守 PCI DSS 時，請務必了解環境中持卡人資料 (CHD) 的完整流程。CHD 流程決定 PCI DSS 的適用性、定義持卡人資料環境 (CDE) 的界限和元件，以及 PCI DSS 評估的範圍。精確判斷 PCI DSS 範圍是定義安全狀態以及最終成功評估的關鍵。客戶必須具備範圍判定程序，以確保其完整性並偵測範圍的變更或偏離。

容器化應用程式的暫時性本質可在稽核組態時提供其他的複雜性。因此，客戶需要保持所有容器組態參數的感知，以確保在容器生命週期的所有階段都能滿足合規要求。

如需有關 Amazon ECS 上實現 PCI DSS 合規的其他資訊，請參閱下列白皮書。

• Amazon ECS 上 PCI DSS 合規性的架構

HIPAA (美國健康保險流通與責任法案)

將 Amazon ECS 與處理受保護醫療資訊 (PHI) 的工作負載搭配使用，無需額外設定。Amazon ECS 充當協同運作服務，可協調在 Amazon EC2 上啟動容器的情況。其不會與正協同運作的工作負載中的資料一起運作，或對資料進行操作。符合 HIPAA 法規和 AWS 商業夥伴增補合約，在使用 Amazon ECS 啟動的容器存取時，PHI 應該在傳輸過程中和靜態加密。

每個 AWS 儲存選項都可以使用各種靜態加密機制，例如 Amazon S3、Amazon EBS 和 AWS KMS。您可以部署浮水印網路 （例如 VNS3 或 Weave Net)，以確保容器之間傳輸的 PHI 完全加密，或提供備援的加密層。您也應該使用完整的記錄，並將所有容器日誌導向 Amazon CloudWatch。如需使用基礎設施安全最佳實務的相關資訊，請參閱安全支柱 AWS Well-Architected Framework 中的基礎設施保護。

AWS Security Hub

使用 AWS Security Hub。這 AWS 服務 可讓您全面檢視其中的安全狀態 AWS。Security Hub 使用安全控制，可評估您的 AWS 資源並檢查您的法規遵循是否符合安全業界標準和最佳實務。如需支援的服務和控制清單，請參閱「Security Hub 控制參考」。

Amazon GuardDuty 搭配 Amazon ECS 執行期監控

Amazon GuardDuty 是一種威脅偵測服務，可協助保護您的帳戶、容器、工作負載和 AWS 環境中的資料。GuardDuty 使用機器學習 (ML) 模型，以及異常和威脅偵測功能，持續監控不同的日誌來源和執行時間活動，以識別環境中的潛在安全風險和惡意活動的優先順序。

在 GuardDuty 中使用執行期監控來識別惡意或未經授權的行為。執行期監控透過持續監控 AWS 日誌和聯網活動來識別惡意或未經授權的行為，以保護在 Fargate 和 EC2 上執行的工作負載。執行期監控使用輕量、全受管的 GuardDuty 安全代理程式來分析主機上的行為，例如檔案存取、程序執行和網路連線。這包括權限提升、使用公開的登入資料，或與惡意 IP 地址、網域的通訊，以及 Amazon EC2 執行個體和容器工作負載上存在惡意軟體等問題。如需詳細資訊，請參閱《GuardDuty 使用者指南》中的 GuardDuty 執行期監控。 GuardDuty

合規建議

我們建議您儘早在業務中與合規計劃擁有者互動，並使用 AWS 共同責任模型來識別合規控制擁有權，以便在相關合規計劃中取得成功。如需詳細資訊，請參閱AWS Amazon ECS 的共同責任模型 。