AWS Fargate FIPS-140 Überlegungen FIPS auf Fargate verwenden CloudTrail Für FIPS-140 Fargate-Audits verwenden

AWS Fargate Bundesstandard für die Informationsverarbeitung (FIPS-140)

Der Federal Information Processing Standard (FIPS-140) ist ein U.S kanadischer Regierungsstandard, der die Sicherheitsanforderungen für kryptografische Module zum Schutz vertraulicher Informationen festlegt. FIPS-140 definiert eine Reihe validierter Kryptografiefunktionen, mit denen Daten während der Übertragung und Daten im Ruhezustand verschlüsselt werden können.

Wenn Sie FIPS-140 Compliance aktivieren, können Sie Workloads auf Fargate konform ausführen. FIPS-140 Weitere Informationen zur FIPS-140 Einhaltung von Vorschriften finden Sie unter Federal Information Processing Standard (FIPS) 140-3.

AWS Fargate FIPS-140 Überlegungen

Beachten Sie Folgendes, wenn Sie FIPS-140 Compliance auf Fargate verwenden:

FIPS-140 Compliance ist nur in den AWS GovCloud (US) Regionen verfügbar.
Fargate unterstützt FIPS-140 Version 140.3
FIPS-140 Die Konformität ist standardmäßig deaktiviert. Sie müssen sie einschalten.
Amazon unterstützt CloudWatch keinen Dual-Stack-FIPS-Endpunkt, der zur Überwachung von Amazon ECS-Aufgaben in einer IPv6-only Compliance-Konfiguration verwendet werden kann. FIPS-140
Ihre Aufgaben müssen aus Compliance-Gründen die folgende Konfiguration verwenden: FIPS-140
- Der operatingSystemFamily muss LINUX sein.
- Der cpuArchitecture muss X86_64 sein.
- Die Fargate-Plattformversion muss 1.4.0 oder höher sein.

FIPS auf Fargate verwenden

Gehen Sie wie folgt vor, um FIPS-140 Compliance auf Fargate zu verwenden.

Schalten Sie die FIPS-140 Konformität ein. Weitere Informationen finden Sie unter AWS Fargate Einhaltung des Federal Information Processing Standard (FIPS-140).
Sie können optional ECS Exec verwenden, um den folgenden Befehl auszuführen, um den FIPS-140 Konformitätsstatus für einen Cluster zu überprüfen.

cluster-nameErsetzen Sie durch den Namen Ihres Clusters, task-id durch die ID oder den ARN Ihrer Aufgabe und container-name durch den Namen des Containers in Ihrer Aufgabe, für den Sie den Befehl ausführen möchten.

Ein Rückgabewert von „1“ gibt an, dass Sie FIPS verwenden.
```
aws ecs execute-command \
    --cluster cluster-name \
    --task task-id \
    --container container-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"
```

CloudTrail Für FIPS-140 Fargate-Audits verwenden

CloudTrail ist in Ihrem AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn API- und Konsolenaktivitäten in Amazon ECS auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail Ereignishistorie in einem Ereignis aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto ansehen, suchen und herunterladen. Weitere Informationen finden Sie unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.

Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für Amazon ECS, erstellen Sie einen Trail, der zur Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket CloudTrail verwendet wird. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle -Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie unter Amazon ECS-API-Aufrufe protokollieren mit AWS CloudTrail.

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die PutAccountSettingDefault API-Aktion demonstriert:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAIV5AJI5LXF5EXAMPLE",
         "arn": "arn:aws:iam::123456789012:user/jdoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIPWIOFC3EXAMPLE",
    },
    "eventTime": "2023-03-01T21:45:18Z",
    "eventSource": "ecs.amazonaws.com",
    "eventName": "PutAccountSettingDefault",
    "awsRegion": "us-gov-east-1",
    "sourceIPAddress": "52.94.133.131",
    "userAgent": "aws-cli/2.9.8 Python/3.9.11 Windows/10 exe/AMD64 prompt/off command/ecs.put-account-setting",
    "requestParameters": {
        "name": "fargateFIPSMode",
        "value": "enabled"
    },
    "responseElements": {
        "setting": {
            "name": "fargateFIPSMode",
            "value": "enabled",
            "principalArn": "arn:aws:iam::123456789012:user/jdoe"
        }
    },
    "requestID": "acdc731e-e506-447c-965d-f5f75EXAMPLE",
    "eventID": "6afced68-75cd-4d44-8076-0beEXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "clientProvidedHostHeader": "ecs-fips.us-gov-east-1.amazonaws.com"
    }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Compliance und bewährte Sicherheitsmethoden

Infrastruktursicherheit