Amazon ECS 的合规性和安全性最佳实践
您在使用 Amazon ECS 时的合规性责任由您的数据的敏感性、您公司的合规性目标以及适用的法律法规决定。
支付卡行业数据安全标准(PCI DSS)
在遵守 PCI DSS 时,了解环境中持卡人数据(CHD)的完整流程非常重要。CHD 流程决定了 PCI DSS 的适用性,定义了持卡人数据环境(CDE)的边界和组成部分,从而定义了 PCI DSS 评测的范围。准确确定 PCI DSS 范围是定义安全态势并最终成功评测的关键。客户必须有一个确定范围的程序,以确保其完整性并检测范围的变化或偏差。
容器化应用程序的临时性质在审计配置时增加了复杂性。因此,客户需要保持对所有容器配置参数的了解,以确保在容器生命周期的所有阶段都能满足合规性要求。
有关在 Amazon ECS 上实现 PCI DSS 合规性的更多信息,请参阅以下白皮书。
HIPAA(美国健康保险流通与责任法案)
将 Amazon ECS 与处理受保护的健康信息(PHI)的工作负载一起使用无需额外配置。Amazon ECS 充当编排服务,用于编排容器在 Amazon EC2 上的启动。它不会使用正在编排的工作负载中的数据进行操作,也不会对这些数据进行操作。根据 HIPAA 法规和 Amazon 商业伙伴增订合约,在使用 Amazon ECS 推出的容器访问时,PHI 应在传输和静态时进行加密。
每个 Amazon 存储选项都提供了多种静态加密机制,例如 Amazon S3、Amazon EBS 和 Amazon KMS。您可以部署叠加网络(例如 VNS3 或 Weave Net),以确保对容器之间传输的 PHI 进行完全加密,或者提供冗余的加密层。您还应该使用完整的日志记录,并将所有容器日志定向到 Amazon CloudWatch。有关使用基础设施安全最佳实践的信息,请参阅安全性支柱 Amazon Well‐Architected Framework》中的基础设施保护。
Amazon Security Hub
使用 Amazon Security Hub。此 Amazon Web Services 服务向您提供 Amazon 中安全状态的全面视图。Security Hub 通过安全控制措施评估您的 Amazon 资源并检查其是否符合安全行业标准和最佳实践。有关受支持服务及控制措施的列表,请参阅 Security Hub 控制措施参考。
具有 Amazon ECS 运行时监控的 Amazon GuardDuty
Amazon GuardDuty 是一项威胁检测服务,可帮助保护您的账户、容器、工作负载和 Amazon 环境中的数据。GuardDuty 使用机器学习(ML)模型以及异常和威胁检测功能,持续监控不同的日志源和运行时活动,以识别环境中的潜在安全风险和恶意活动并确定其优先级。
使用 GuardDuty 中的运行时监控来识别恶意或未经授权的行为。运行时监控通过持续监控 Amazon 日志和联网活动来识别恶意或未经授权的行为,从而保护在 Fargate 和 EC2 上运行的工作负载。运行时监控使用轻量级、完全托管的 GuardDuty 安全代理分析主机中的行为,例如文件访问、进程执行和网络连接。它涉及的问题包括权限升级、使用公开的凭证,或与恶意 IP 地址、域通信,以及您的 Amazon EC2 实例和容器工作负载上存在恶意软件。有关更多信息,请参阅《GuardDuty User Guide》中的 GuardDuty Runtime Monitoring。
合规性建议
建议您尽早与企业内部的合规计划所有者接触,并使用 Amazon 责任共担模型来确定合规控制所有权,以便成功实施相关的合规计划。有关更多信息,请参阅 Amazon ECS 的 Amazon 责任共担模式 。