Conformidad con FIPS de AWS Lambda

Este producto no es compatible con el sitio Datadog seleccionado. ().

La extensión Lambda Datadog conforme con FIPS está disponible en todas las regiones AWS. Aunque puedes utilizar estos componentes Lambda conformes con FIPS en cualquier sitio Datadog, la conformidad con FIPS de extremo a extremo requiere el envío de datos al sitio US1-FED (ddog-gov.com).

Datadog proporciona una monitorización conforme con FIPS para las funciones AWS Lambda mediante el uso de módulos criptográficos certificados por FIPS y capas de extensión Lambda especialmente diseñadas.

Componentes conformes con FIPS

La conformidad con FIPS de Datadog para AWS Lambda se implementa a través de dos componentes principales:

  1. Extensión Lambda conforme con FIPS:

  2. Soporte para bibliotecas de tiempo de ejecución:

    • Las capas Lambda Python y JavaScript de Datadog y la biblioteca Lambda Go de Datadog ofrecen un funcionamiento conforme con FIPS, controlado por la variable de entorno DD_LAMBDA_FIPS_MODE.
      • DD_LAMBDA_FIPS_MODE es por defecto true en GovCloud y es false en caso contrario.
    • Cuando el modo FIPS está activado:
      • Las bibliotecas de tiempo de ejecución utilizan endpoints FIPS AWS para la recuperación de claves de API de Datadog
      • Las funciones de ayuda para métricas de Lambda requieren la extensión conforme con FIPS para el envío de métricas:
        • Python: lambda_metric de datadog_lambda.metric
        • Node.js: sendDistributionMetric de datadog-lambda-js
        • Go: Metric() de ddlambda

Capas de extensión FIPS

Datadog proporciona capas de extensión Lambda independientes para la conformidad con FIPS, tanto en arquitecturas x86 como ARM:

    arn:aws-us-gov:lambda:<AWS_REGION>:002406178527:layer:Datadog-Extension-FIPS:93
arn:aws-us-gov:lambda:<AWS_REGION>:002406178527:layer:Datadog-Extension-ARM-FIPS:93

    Sustituye <AWS_REGION> por una región AWS GovCloud válida como us-gov-west-1.

    arn:aws:lambda:<AWS_REGION>:464622532012:layer:Datadog-Extension-FIPS:93
arn:aws:lambda:<AWS_REGION>:464622532012:layer:Datadog-Extension-ARM-FIPS:93

    Sustituye <AWS_REGION> por una región AWS válida como us-east-1.

    Soporte de tiempo de ejecución

    Python, JavaScript y Go

    Para las funciones Lambda de Python, JavaScript y Go, la conformidad con FIPS se controla mediante la variable de entorno DD_LAMBDA_FIPS_MODE:

    • En entornos GovCloud, DD_LAMBDA_FIPS_MODE es por defecto true.
    • En las regiones comerciales, DD_LAMBDA_FIPS_MODE es por defecto false.

    Cuando el modo FIPS está activado:

    • Los endpoints AWS FIPS se utilizan para búsquedas de claves de API de Datadog en almacenes de datos seguros de AWS.
    • El envío directo de métricas a la API de Datadog está desactivado, por lo que se requiere la extensión conforme con FIPS para el envío de métricas.

    Ruby, .NET y Java

    Las bibliotecas de tiempos de ejecución de Ruby, .NET y Java no requieren la variable de entorno DD_LAMBDA_FIPS_MODE, ya que estos tiempos de ejecución no:

    • Contactan con las API de AWS directamente
    • Envían métricas directamente a Datadog

    Instalación y configuración

    Para utilizar la monitorización conforme con FIPS en tus funciones AWS Lambda:

    1. Selecciona la capa de extensión conforme con FIPS:

      • Utiliza el ARN de la capa de extensión FIPS adecuado para tu arquitectura (x86 o ARM) y región (comercial o GovCloud).

    2. Configura variables de entorno:

      • En entornos GovCloud, DD_LAMBDA_FIPS_MODE está activado por defecto.
      • Para las regiones comerciales, configura DD_LAMBDA_FIPS_MODE=true para activar el modo FIPS.
      • Para una conformidad con FIPS de extremo a extremo total, configura DD_SITE como ddog-gov.com para enviar datos al sitio US1-FED.

    3. Sigue las instrucciones de instalación estándar:

      • Consulta las guías de instalación para conocer las configuraciones específicas de cada lenguaje.
      • Utiliza los ARN de la capa de extensión FIPS en lugar de las capas de extensión estándar.

    Para obtener instrucciones detalladas de instalación específicas para el tiempo de ejecución y el método de despliegue de tu lenguaje, consulta la documentación de instalación.

    Limitaciones y consideraciones

    • Conformidad FIPS de extremo a extremo: Para una conformidad FIPS total, deben utilizarse los componentes Lambda conformes con FIPS para enviar telemetría a la región US1-FED (ddog-gov.com). Aunque los propios componentes Lambda implementan una criptografía conforme con FIPS independientemente del destino, solo el sitio US1-FED tiene endpoints de entrada conformes con FIPS.

    • Responsabilidad del cliente: Tú, cliente de Datadog, eres responsable de:

      • La postura de seguridad de tu propio código de función Lambda
      • Garantizar que el resto del código que puedas estar ejecutando en tu entorno de ejecución Lambda conserve la conformidad con FIPS según sea necesario.

    • Ámbito de conformidad con FIPS: La conformidad con FIPS solo se aplica a la comunicación entre componentes Datadog Lambda y endpoints de la API de entrada de Datadog. Esta solución no hace que otras formas de comunicación que se originan o terminan en tus funciones Lambda se vuelvan conformes con FIPS.

    • Requisitos de versión: Utiliza las últimas versiones de la extensión y las bibliotecas Datadog Lambda para garantizar una funcionalidad completa y una seguridad actualizada.

    Referencias adicionales