本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon ECS 的合規與安全最佳實務

您使用 Amazon ECS 時的合規責任取決於資料的敏感度、您公司的合規目標及適用的法律和法規。

支付卡產業資料安全標準 (PCI DSS)

在遵守 PCI DSS 時，請務必了解環境中持卡人資料 (CHD) 的完整流程。CHD 流程決定 PCI DSS 的適用性、定義持卡人資料環境 (CDE) 的界限和元件，以及 PCI DSS 評估的範圍。精確判斷 PCI DSS 範圍是定義安全狀態以及最終成功評估的關鍵。客戶必須具備範圍判定程序，以確保其完整性並偵測範圍的變更或偏離。

容器化應用程式的暫時性本質可在稽核組態時提供其他的複雜性。因此，客戶需要保持所有容器組態參數的感知，以確保在容器生命週期的所有階段都能滿足合規要求。

如需有關 Amazon ECS 上實現 PCI DSS 合規的其他資訊，請參閱下列白皮書。

HIPAA (美國健康保險流通與責任法案)

將 Amazon ECS 與處理受保護醫療資訊 (PHI) 的工作負載搭配使用，無需額外設定。Amazon ECS 充當協同運作服務，可協調在 Amazon EC2 上啟動容器的情況。其不會與正協同運作的工作負載中的資料一起運作，或對資料進行操作。符合 HIPAA 法規和 AWS 商業夥伴增補合約，在使用 Amazon ECS 啟動的容器存取時，PHI 應該在傳輸過程中和靜態加密。

每個 AWS 儲存選項都可以使用各種靜態加密機制，例如 Amazon S3、Amazon EBS 和 AWS KMS。您可以部署覆蓋網路 (例如 VNS3 或 Weave Net)，確保在容器之間傳輸的 PHI 完全加密，或提供備援加密層。您還應使用完整的記錄功能，並將所有容器日誌導向至 Amazon CloudWatch。如需有關使用基礎結構安全性的最佳實務資訊，請參閱《安全支柱 AWS Well Architected Framework》中的基礎結構保護。

AWS Security Hub CSPM

使用 AWS Security Hub CSPM。這 AWS 服務 可讓您全面檢視其中的安全狀態 AWS。Security Hub CSPM 使用安全控制來評估您的 AWS 資源，並檢查是否符合安全產業標準和最佳實務。如需支援的服務和控制項清單，請參閱 Security Hub CSPM 控制項參考。

搭配 Amazon ECS 執行時期監控使用 Amazon GuardDuty

Amazon GuardDuty 是一種威脅偵測服務，可協助保護您的帳戶、容器、工作負載和 AWS 環境中的資料。GuardDuty 使用機器學習 (ML) 模型，以及異常和威脅偵測功能，持續監控不同的日誌來源和執行時期活動，以識別環境中的潛在安全風險和惡意活動和排定其優先順序。

在 GuardDuty 中使用執行時期監控來識別惡意或未經授權的行為。執行期監控透過持續監控 AWS 日誌和聯網活動來識別惡意或未經授權的行為，來保護在 Fargate 和 EC2 上執行的工作負載。執行時期監控使用輕量且全受管的 GuardDuty 安全代理程式，可分析主機上的行為，例如檔案存取、程序執行與網路連線。這涵蓋的問題包括：提升權限、使用暴露的憑證、與惡意 IP 位址或網域通訊，以及 Amazon EC2 執行個體與容器工作負載上出現惡意軟體。如需詳細資訊，請參閱 GuardDuty User Guide 中的 GuardDuty Runtime Monitoring。

合規建議

我們建議您儘早在業務中與合規計劃擁有者互動，並使用 AWS 共同責任模型來識別合規控制擁有權，以便在相關合規計劃中取得成功。如需詳細資訊，請參閱AWS Amazon ECS 的共同責任模型 。