Überlegungen zu FIPS-140 in AWS Fargate FIPS auf Fargate verwenden CloudTrail für FIPS-140-Prüfungen von Fargate verwenden

AWS Fargate Bundesstandard für Informationsprozesse (FIPS-140)

Federal Information Processing Standard (FIPS-140) ist ein Sicherheitsstandard der US- und kanadischen Regierungen, mit dem die Sicherheitsanforderungen für Verschlüsselungsmodule angegeben werden, die vertrauliche Informationen schützen. FIPS-140 definiert eine Reihe validierter Kryptografiefunktionen, mit denen Daten während der Übertragung und Daten im Ruhezustand verschlüsselt werden können.

Wenn Sie die FIPS-140-Konformität aktivieren, können Sie Workloads auf Fargate auf FIPS-140-konforme Weise ausführen. Weitere Informationen über FIPS-140-Konformität finden Sie unter Bundesstandard für Informationsprozesse (FIPS) 140-3.

Überlegungen zu FIPS-140 in AWS Fargate

Beachten Sie die folgenden Punkte, wenn Sie die FIPS-140-Konformität auf Fargate nutzen:

Die FIPS-140-Konformität ist nur in den Regionen AWS GovCloud (US) verfügbar.
Fargate unterstützt FIPS-140 Version 140.3
Die FIPS-140-Konformität ist standardmäßig deaktiviert. Sie müssen sie einschalten.
Amazon CloudWatch unterstützt keinen Dual-Stack-FIPS-Endpunkt, der zur Überwachung von Amazon-ECS-Aufgaben in einer Nur-IPv6-Konfiguration verwendet werden kann, die FIPS-140-Konformität verwendet.
Ihre Aufgaben müssen die folgende Konfiguration verwenden, um die FIPS-140-Konformität zu gewährleisten:
- Der operatingSystemFamily muss LINUX sein.
- Der cpuArchitecture muss X86_64 sein.
- Die Fargate-Plattformversion muss 1.4.0 oder höher sein.

FIPS auf Fargate verwenden

Gehen Sie wie folgt vor, um die FIPS-140-Konformität auf Fargate zu nutzen.

Schalten Sie die FIPS-140-Konformität ein. Weitere Informationen finden Sie unter AWS Fargate-Compliance mit dem Bundesstandard für Informationsprozesse (FIPS-140).
Sie können optional ECS Exec verwenden, um den folgenden Befehl auszuführen, um den FIPS-140-Konformitätsstatus für einen Cluster zu überprüfen.

Ersetzen Sie cluster-name durch den Namen Ihres Clusters, task-id durch die ID oder den ARN der Aufgabe und container-name durch den Namen des Containers in der Aufgabe, für den Sie den Befehl ausführen möchten.

Ein Rückgabewert von „1“ gibt an, dass Sie FIPS verwenden.
```
aws ecs execute-command \
    --cluster cluster-name \
    --task task-id \
    --container container-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"
```

CloudTrail für FIPS-140-Prüfungen von Fargate verwenden

CloudTrail wird beim Erstellen Ihres AWS-Kontos aktiviert. Wenn eine API- und Konsolenaktivität in Amazon ECS auftritt, wird diese Aktivität in einem CloudTrail-Ereignis zusammen mit anderen AWS-Service-Ereignissen im Ereignisverlauf aufgezeichnet. Sie können die neusten Ereignisse in Ihr AWS-Konto herunterladen und dort suchen und anzeigen. Weitere Informationen finden Sie unter Anzeigen von Ereignissen mit dem CloudTrail-Ereignisverlauf.

Erstellen Sie für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS-Konto, einschließlich Ereignissen für Amazon ECS, einen Trail, den CloudTrail verwendet, um Protokolldateien an einen Amazon-S3-Bucket zu liefern. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser standardmäßig für alle Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der AWS-Partition und stellt die Protokolldateien in dem von Ihnen angegebenen Amazon-S3-Bucket bereit. Darüber hinaus können Sie andere AWS-Services konfigurieren, um die in den CloudTrail-Protokollen erfassten Ereignisdaten weiter zu analysieren und entsprechend zu agieren. Weitere Informationen finden Sie unter Amazon-ECS-API-Aufrufe mit AWS CloudTrail protokollieren.

Das folgende Beispiel zeigt einen CloudTrail-Protokolleintrag, der die API-Aktion PutAccountSettingDefault demonstriert:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Compliance und bewährte Sicherheitsmethoden

Sicherheit der Infrastruktur