AWS Fargate FIPS-140 Überlegungen FIPSAuf Fargate verwenden CloudTrail Für FIPS Fargate-140-Audits verwenden

AWS Fargate Bundesstandard für Informationsverarbeitung (FIPS-140)

Bundesstandard für die Informationsverarbeitung ()FIPS. FIPS-140 ist ein US-amerikanischer und kanadischer Regierungsstandard, der die Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. FIPS-140 definiert eine Reihe validierter Kryptografiefunktionen, mit denen Daten während der Übertragung und Daten im Ruhezustand verschlüsselt werden können.

Wenn Sie FIPS -140-Konformität aktivieren, können Sie Workloads auf Fargate so ausführen, dass sie -140-konform sind. FIPS Weitere Informationen zur Einhaltung von FIPS -140 finden Sie unter Federal Information Processing Standard () 140-2. FIPS

AWS Fargate FIPS-140 Überlegungen

Beachten Sie Folgendes, wenn Sie die FIPS -140-Konformität auf Fargate verwenden:

FIPS-140-Konformität ist nur in den Regionen verfügbar. AWS GovCloud (US)
FIPS-140-Konformität ist standardmäßig deaktiviert. Sie müssen sie einschalten.
Ihre Aufgaben müssen die folgende Konfiguration für die Einhaltung von FIPS -140 verwenden:
- Der operatingSystemFamily muss LINUX sein.
- Der cpuArchitecture muss X86_64 sein.
- Die Fargate-Plattformversion muss 1.4.0 oder höher sein.

FIPSAuf Fargate verwenden

Gehen Sie wie folgt vor, um die FIPS -140-Konformität auf Fargate zu verwenden.

Schalten Sie FIPS -140-Konformität ein. Weitere Informationen finden Sie unter AWS Fargate Einhaltung des Federal Information Processing Standard (FIPS-140).
Sie können optional ECS Exec verwenden, um den folgenden Befehl auszuführen, um den Konformitätsstatus FIPS -140 für einen Cluster zu überprüfen.

Ersetzen my-cluster mit dem Namen Ihres Clusters.

Ein Rückgabewert von „1" gibt an, dass Sie verwendenFIPS.
```
aws ecs execute-command --cluster cluster-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"
```

CloudTrail Für FIPS Fargate-140-Audits verwenden

CloudTrail ist in Ihrem AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn API eine Konsolenaktivität in Amazon stattfindetECS, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail Ereignishistorie in einem Ereignis aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto ansehen, suchen und herunterladen. Weitere Informationen finden Sie unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.

Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für AmazonECS, erstellen Sie einen Trail, der zur Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket CloudTrail verwendet wird. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser standardmäßig für alle Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter ECSAPIAmazon-Anrufe protokollieren mit AWS CloudTrail.

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die PutAccountSettingDefault API Aktion demonstriert:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bewährte Verfahren zur Einhaltung von Vorschriften und Sicherheit

Sicherheit der Infrastruktur