Standard di sicurezza dei dati PCI DSS del settore delle carte di pagamento () HIPAA(Legge sulla portabilità e la responsabilità dell'assicurazione sanitaria degli Stati Uniti) AWS Security Hub Amazon GuardDuty con Amazon ECS Runtime Monitoring Consigli sulla conformità

Best practice di conformità e sicurezza per Amazon ECS

La tua responsabilità di conformità quando usi Amazon ECS è determinata dalla sensibilità dei tuoi dati, dagli obiettivi di conformità della tua azienda e dalle leggi e dai regolamenti applicabili.

AWS fornisce le seguenti risorse per contribuire alla conformità:

Guide introduttive su sicurezza e conformità: queste guide all'implementazione illustrano considerazioni sull'architettura e forniscono passaggi per implementare ambienti di base incentrati sulla sicurezza e la conformità. AWS
Whitepaper sull'architettura per la HIPAA sicurezza e la conformità: questo white paper descrive in che modo le aziende possono utilizzare per creare applicazioni conformi. AWS HIPAA
Servizi AWS coperti dal programma di conformità: questo elenco contiene i servizi AWS che rientrano nell'ambito di programmi per la conformità specifici. Per ulteriori informazioni, consulta Programmi per la conformità di AWS.

Standard di sicurezza dei dati PCI DSS del settore delle carte di pagamento ()

È importante comprendere l'intero flusso di dati dei titolari di carta (CHD) all'interno dell'ambiente quando si aderisce. PCI DSS Il CHD flusso determina l'applicabilità di PCIDSS, definisce i confini e i componenti di un ambiente di dati dei titolari di carta (CDE) e quindi l'ambito di una valutazione. PCI DSS La determinazione accurata dell'PCIDSSambito è fondamentale per definire il livello di sicurezza e, in ultima analisi, per una valutazione di successo. I clienti devono disporre di una procedura per la determinazione dell'ambito che ne garantisca la completezza e rilevi modifiche o deviazioni dall'ambito.

La natura temporanea delle applicazioni containerizzate comporta ulteriori complessità quando si effettua l'audit delle configurazioni. Di conseguenza, i clienti devono mantenere la consapevolezza di tutti i parametri di configurazione di container per garantire che i requisiti di conformità siano soddisfatti in tutte le fasi del ciclo di vita di un container.

Per ulteriori informazioni su come ottenere PCI DSS la conformità su AmazonECS, consulta i seguenti white paper.

HIPAA(Legge sulla portabilità e la responsabilità dell'assicurazione sanitaria degli Stati Uniti)

L'utilizzo di Amazon ECS con carichi di lavoro che elaborano informazioni sanitarie protette (PHI) non richiede alcuna configurazione aggiuntiva. Amazon ECS funge da servizio di orchestrazione che coordina il lancio di container su Amazon. EC2 Non funziona con o su dati all'interno del carico di lavoro orchestrato. In linea con HIPAA le normative e il AWS Business Associate Addendum, PHI deve essere crittografato in transito e a riposo quando vi si accede dai container lanciati con Amazon. ECS

Con ogni opzione di AWS storage sono disponibili diversi meccanismi di crittografia a riposo, ad esempio Amazon S3, EBS Amazon e. AWS KMSÈ possibile implementare una rete overlay (come VNS3 Weave Net) per garantire la crittografia completa dei PHI trasferimenti tra contenitori o per fornire un livello di crittografia ridondante. È inoltre necessario abilitare la registrazione completa e tutti i log dei container devono essere indirizzati ad Amazon. CloudWatch Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, consulta Infrastructure Protection in Security Pillar AWS Well‐Architected Framework.

AWS Security Hub

Utilizzalo AWS Security Hub per monitorare l'utilizzo di Amazon ECS in relazione alle migliori pratiche di sicurezza. Security Hub utilizza controlli per valutare le configurazioni delle risorse e gli standard di sicurezza per aiutarti a rispettare vari framework di conformità. Per ulteriori informazioni sull'utilizzo di Security Hub per valutare ECS le risorse Amazon, consulta ECSi controlli Amazon nella Guida per l'AWS Security Hub utente.

Amazon GuardDuty con Amazon ECS Runtime Monitoring

Amazon GuardDuty è un servizio di rilevamento delle minacce che aiuta a proteggere account, contenitori, carichi di lavoro e dati all'interno del tuo AWS ambiente. Utilizzando modelli di machine learning (ML) e funzionalità di rilevamento di anomalie e minacce, monitora GuardDuty continuamente diverse fonti di log e attività di runtime per identificare e dare priorità ai potenziali rischi per la sicurezza e alle attività dannose nel tuo ambiente.

Utilizza Runtime Monitoring GuardDuty per identificare comportamenti dannosi o non autorizzati. Il monitoraggio del runtime protegge i carichi di lavoro in esecuzione su Fargate EC2 e AWS monitorando continuamente i log e le attività di rete per identificare comportamenti dannosi o non autorizzati. Runtime Monitoring utilizza un agente di GuardDuty sicurezza leggero e completamente gestito che analizza il comportamento sull'host, come l'accesso ai file, l'esecuzione dei processi e le connessioni di rete. Ciò riguarda questioni quali l'aumento dei privilegi, l'uso di credenziali esposte o la comunicazione con indirizzi IP e domini dannosi e la presenza di malware sulle istanze Amazon EC2 e sui carichi di lavoro dei container. Per ulteriori informazioni, consulta GuardDuty Runtime Monitoring nella Guida per l'utente. GuardDuty

Consigli sulla conformità

È consigliabile coinvolgere tempestivamente i responsabili dei programmi di conformità all'interno dell'azienda e utilizzare il modello di responsabilità condivisa di AWS per identificare la titolarità del controllo della conformità e garantire l'efficacia dei programmi di conformità pertinenti.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Convalida della conformità

AWS Fargate FIPS-140 conformità