# Amazon ECS 的合规性和安全性最佳实践 合规性和安全性最佳实践 您在使用 Amazon ECS 时的合规性责任由您的数据的敏感性、您公司的合规性目标以及适用的法律法规决定。 ## 支付卡行业数据安全标准(PCI DSS) 在遵守 PCI DSS 时,了解环境中持卡人数据(CHD)的完整流程非常重要。CHD 流程决定了 PCI DSS 的适用性,定义了持卡人数据环境(CDE)的边界和组成部分,从而定义了 PCI DSS 评测的范围。准确确定 PCI DSS 范围是定义安全态势并最终成功评测的关键。客户必须有一个确定范围的程序,以确保其完整性并检测范围的变化或偏差。 容器化应用程序的临时性质在审计配置时增加了复杂性。因此,客户需要保持对所有容器配置参数的了解,以确保在容器生命周期的所有阶段都能满足合规性要求。 有关在 Amazon ECS 上实现 PCI DSS 合规性的更多信息,请参阅以下白皮书。 + [在 Amazon ECS 上进行设计以实现 PCI DSS 合规性]( https://d1.awsstatic.com/whitepapers/compliance/architecting-on-amazon-ecs-for-pci-dss-compliance.pdf) ## HIPAA(美国健康保险流通与责任法案) 将 Amazon ECS 与处理受保护的健康信息(PHI)的工作负载一起使用无需额外配置。Amazon ECS 充当编排服务,用于编排容器在 Amazon EC2 上的启动。它不会使用正在编排的工作负载中的数据进行操作,也不会对这些数据进行操作。根据 HIPAA 法规和 Amazon 商业伙伴增订合约,在使用 Amazon ECS 推出的容器访问时,PHI 应在传输和静态时进行加密。 每个 Amazon 存储选项都提供了多种静态加密机制,例如 Amazon S3、Amazon EBS 和 Amazon KMS。您可以部署叠加网络(例如 VNS3 或 Weave Net),以确保对容器之间传输的 PHI 进行完全加密,或者提供冗余的加密层。您还应该使用完整的日志记录,并将所有容器日志定向到 Amazon CloudWatch。有关使用基础设施安全最佳实践的信息,请参阅*安全性支柱 Amazon Well‐Architected Framework*》中的[基础设施保护](https://docs.amazonaws.cn/wellarchitected/latest/security-pillar/infrastructure-protection.html)。 ## Amazon Security Hub CSPM 使用 Amazon Security Hub CSPM。此 Amazon Web Services 服务向您提供 Amazon 中安全状态的全面视图。Security Hub CSPM 通过安全控制措施评估您的 Amazon 资源,并检查是否符合安全行业标准和最佳实践。有关受支持服务及控制措施的列表,请参阅 [Security Hub CSPM 控制措施参考](https://docs.amazonaws.cn/securityhub/latest/userguide/securityhub-controls-reference.html)。 ## 具有 Amazon ECS 运行时监控的 Amazon GuardDuty Amazon GuardDuty 是一项威胁检测服务,可帮助保护您的账户、容器、工作负载和 Amazon 环境中的数据。GuardDuty 使用机器学习(ML)模型以及异常和威胁检测功能,持续监控不同的日志源和运行时活动,以识别环境中的潜在安全风险和恶意活动并确定其优先级。 使用 GuardDuty 中的运行时监控来识别恶意或未经授权的行为。运行时监控通过持续监控 Amazon 日志和联网活动来识别恶意或未经授权的行为,从而保护在 Fargate 和 EC2 上运行的工作负载。运行时监控使用轻量级、完全托管的 GuardDuty 安全代理分析主机中的行为,例如文件访问、进程执行和网络连接。它涉及的问题包括权限升级、使用公开的凭证,或与恶意 IP 地址、域通信,以及您的 Amazon EC2 实例和容器工作负载上存在恶意软件。有关更多信息,请参阅《GuardDuty 用户指南》**中的 [GuardDuty 运行时监控](https://docs.amazonaws.cn/guardduty/latest/ug/runtime-monitoring.html)。 ## 合规性建议 建议您尽早与企业内部的合规计划所有者接触,并使用 Amazon 责任共担模型来确定合规控制所有权,以便成功实施相关的合规计划。有关更多信息,请参阅 [Amazon ECS 的 Amazon 责任共担模式](security-shared-model.md)。