AWS Fargate Überlegungen zu FIPS-140 FIPS auf Fargate verwenden Verwendung CloudTrail für Fargate FIPS-140-Audits

AWS Fargate Bundesstandard für Informationsverarbeitung (FIPS-140)

Bundesstandard für Informationsprozesse (FIPS). FIPS-140 ist ein US-amerikanischer und kanadischer Regierungsstandard, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. FIPS-140 definiert eine Reihe validierter Kryptografiefunktionen, mit denen Daten während der Übertragung und Daten im Ruhezustand verschlüsselt werden können.

Wenn Sie die FIPS-140-Konformität aktivieren, können Sie Workloads auf Fargate auf FIPS-140-konforme Weise ausführen. Weitere Informationen über FIPS-140-Konformität finden Sie unter Bundesstandard für Informationsprozesse (FIPS) 140-2.

AWS Fargate Überlegungen zu FIPS-140

Beachten Sie die folgenden Punkte, wenn Sie die FIPS-140-Konformität auf Fargate nutzen:

Die FIPS-140-Konformität ist nur in den Regionen AWS GovCloud (US) verfügbar.
Die FIPS-140-Konformität ist standardmäßig deaktiviert. Sie müssen sie einschalten.
Ihre Aufgaben müssen die folgende Konfiguration verwenden, um die FIPS-140-Konformität zu gewährleisten:
- Der operatingSystemFamily muss LINUX sein.
- Der cpuArchitecture muss X86_64 sein.
- Die Fargate-Plattformversion muss 1.4.0 oder höher sein.

FIPS auf Fargate verwenden

Gehen Sie wie folgt vor, um die FIPS-140-Konformität auf Fargate zu nutzen.

Schalten Sie die FIPS-140-Konformität ein. Weitere Informationen finden Sie unter AWS Fargate Einhaltung des Federal Information Processing Standard (FIPS-140).
Sie können optional ECS Exec verwenden, um den folgenden Befehl auszuführen, um den FIPS-140-Konformitätsstatus für einen Cluster zu überprüfen.

Ersetzen Sie my-cluster durch den Namen Ihres Clusters.

Ein Rückgabewert von „1“ gibt an, dass Sie FIPS verwenden.
```
aws ecs execute-command --cluster cluster-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"
```

Verwendung CloudTrail für Fargate FIPS-140-Audits

CloudTrail ist in Ihrem AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn API- und Konsolenaktivitäten in Amazon ECS auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail Ereignishistorie in einem Ereignis aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto ansehen, suchen und herunterladen. Weitere Informationen finden Sie unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.

Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für Amazon ECS, erstellen Sie einen Trail, der zur Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket CloudTrail verwendet wird. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser standardmäßig für alle Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter Amazon ECS-API-Aufrufe protokollieren mit AWS CloudTrail.

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die PutAccountSettingDefault API-Aktion demonstriert:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bewährte Verfahren zur Einhaltung von Vorschriften und Sicherheit

Sicherheit der Infrastruktur