Padrão Federal de Processamento de Informações (FIPS-140) do AWS Fargate - Amazon Elastic Container Service

Padrão Federal de Processamento de Informações (FIPS-140) do AWS Fargate

Padrão Federal de Processamento de Informações (FIPS) O FIPS-140 é um padrão do governo americano e canadense que especifica os requisitos de segurança para módulos criptográficos que protegem informações sigilosas. O FIPS-140 define um conjunto de funções criptográficas validadas que podem ser usadas para criptografar dados em trânsito e dados em repouso.

Ao ativar a conformidade com o FIPS-140, é possível executar workloads no Fargate de forma compatível com o FIPS-140. Para obter mais informações sobre a conformidade com o FIPS-140, consulte Padrão Federal de Processamento de Informações (FIPS) 140-2.

Considerações sobre o FIPS-140 do AWS Fargate

Considere o seguinte ao usar a conformidade com FIPS-140 no Fargate:

  • A conformidade com o FIPS-140 está disponível somente nas regiões AWS GovCloud (US).

  • A conformidade com FIPS-140 está desativada por padrão. Você deve ativá-la.

  • Suas tarefas devem usar a configuração a seguir para conformidade com o FIPS-140:

    • O operatingSystemFamily deve ser LINUX.

    • O cpuArchitecture deve ser X86_64.

    • A versão da plataforma Fargate deve ser 1.4.0 ou posterior.

Use FIPS no Fargate

Use o procedimento a seguir para usar a conformidade com FIPS-140 no Fargate.

  1. Ative a conformidade com o FIPS-140. Para ter mais informações, consulte Conformidade do AWS Fargate com o Padrão Federal de Processamento de Informações (FIPS-140).

  2. Opcionalmente, é possível usar o ECS Exec para executar o comando a seguir para verificar o status de conformidade com o FIPS-140 de um cluster.

    Substitua my-cluster pelo nome do cluster.

    Um valor de retorno de “1" indica que você está usando FIPS.

    aws ecs execute-command --cluster cluster-name \ --interactive \ --command "cat /proc/sys/crypto/fips_enabled"

Uso do CloudTrail para auditoria do FIPS-140 do Fargate

O CloudTrail é ativado na conta da AWS quando ela é criada. Quando ocorre uma atividade de API e console no Amazon ECS, esta atividade é registrada em um evento do CloudTrail junto com outros eventos de serviço da AWS no Histórico de eventos. É possível visualizar, pesquisar e baixar eventos recentes em sua conta da AWS. Para obter mais informações, consulte Visualização de eventos com o histórico de eventos do CloudTrail.

Para obter um registro contínuo de eventos na sua conta da AWS, incluindo eventos do Amazon ECS, crie uma trilha que o CloudTrail use para entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões. A trilha registra logs de eventos de todas as Regiões na AWS divisória e entrega os arquivos do log para o bucket Amazon S3 especificado. Além disso, é possível configurar outros AWS serviços para melhor analisar e agir de acordo com dados coletados do evento nos logs CloudTrail. Para ter mais informações, consulte Registro em log das chamadas de API do Amazon ECS usando o AWS CloudTrail.

O exemplo a seguir mostra uma entrada de log do CloudTrail que demonstra a ação de API PutAccountSettingDefault:

{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDAIV5AJI5LXF5EXAMPLE", "arn": "arn:aws:iam::123456789012:user/jdoe", "accountId": "123456789012", "accessKeyId": "AKIAIPWIOFC3EXAMPLE", }, "eventTime": "2023-03-01T21:45:18Z", "eventSource": "ecs.amazonaws.com", "eventName": "PutAccountSettingDefault", "awsRegion": "us-gov-east-1", "sourceIPAddress": "52.94.133.131", "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting", "requestParameters": { "name": "fargateFIPSMode", "value": "enabled" }, "responseElements": { "setting": { "name": "fargateFIPSMode", "value": "enabled", "principalArn": "arn:aws:iam::123456789012:user/jdoe" } }, "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE", "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256", "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com" } }