Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik keamanan jaringan untuk Amazon ECS
Keamanan jaringan adalah topik luas yang mencakup beberapa subtopik. Ini termasuk encryption-in-transit, segmentasi dan isolasi jaringan, firewall, perutean lalu lintas, dan observabilitas.
Enkripsi bergerak
Mengenkripsi lalu lintas jaringan mencegah pengguna yang tidak sah mencegat dan membaca data ketika data tersebut ditransmisikan melalui jaringan. Dengan AmazonECS, enkripsi jaringan dapat diimplementasikan dengan salah satu cara berikut.
-
Dengan service mesh (TLS):
Dengan AWS App Mesh, Anda dapat mengonfigurasi TLS koneksi antara proxy Envoy yang digunakan dengan titik akhir mesh. Dua contoh adalah virtual node dan virtual gateway. TLSSertifikat dapat berasal dari AWS Certificate Manager (ACM). Atau, itu bisa berasal dari otoritas sertifikat pribadi Anda sendiri.
-
Menggunakan instance Nitro:
Secara default, lalu lintas secara otomatis dienkripsi antara jenis instans Nitro berikut: C5n, G4, i3en, M5dn, M5n, P3dn, R5dn, dan R5n. Lalu lintas tidak dienkripsi saat dialihkan melalui gateway transit, penyeimbang beban, atau perantara serupa.
-
Menggunakan Indikasi Nama Server (SNI) dengan Application Load Balancer:
Application Load Balancer (ALB) dan Network Load Balancer NLB () mendukung Indikasi Nama Server (). SNI Dengan menggunakanSNI, Anda dapat menempatkan beberapa aplikasi aman di belakang satu pendengar. Untuk ini, masing-masing memiliki TLS sertifikat sendiri. Sebaiknya Anda memberikan sertifikat untuk penyeimbang beban menggunakan AWS Certificate Manager (ACM) dan kemudian menambahkannya ke daftar sertifikat pendengar. AWS Load balancer menggunakan algoritma pemilihan sertifikat cerdas denganSNI. Jika nama host yang disediakan oleh klien cocok dengan satu sertifikat dalam daftar sertifikat, penyeimbang beban memilih sertifikat tersebut. Jika nama host yang disediakan oleh klien cocok dengan beberapa sertifikat dalam daftar, penyeimbang beban memilih sertifikat yang dapat didukung klien. Contohnya termasuk sertifikat yang ditandatangani sendiri atau sertifikat yang dihasilkan melalui. ACM
-
End-to-end enkripsi dengan TLS sertifikat:
Ini melibatkan penyebaran TLS sertifikat dengan tugas. Ini bisa berupa sertifikat yang ditandatangani sendiri atau sertifikat dari otoritas sertifikat tepercaya. Anda dapat memperoleh sertifikat dengan mereferensikan rahasia untuk sertifikat. Jika tidak, Anda dapat memilih untuk menjalankan container yang mengeluarkan Certificate Signing Request (CSR) ke ACM dan kemudian memasang rahasia yang dihasilkan ke volume bersama.
Jaringan tugas
Rekomendasi berikut ini mempertimbangkan cara ECS kerja Amazon. Amazon ECS tidak menggunakan jaringan overlay. Sebaliknya, tugas dikonfigurasi untuk beroperasi dalam mode jaringan yang berbeda. Misalnya, tugas yang dikonfigurasi untuk menggunakan bridge mode memperoleh alamat IP yang tidak dapat dirutekan dari jaringan Docker yang berjalan di setiap host. Tugas yang dikonfigurasi untuk menggunakan mode awsvpc jaringan memperoleh alamat IP dari subnet host. Tugas yang dikonfigurasi dengan host jaringan menggunakan antarmuka jaringan host. awsvpcadalah mode jaringan yang disukai. Ini karena ini adalah satu-satunya mode yang dapat Anda gunakan untuk menetapkan grup keamanan ke tugas. Ini juga satu-satunya mode yang tersedia untuk AWS Fargate tugas-tugas di AmazonECS.
Grup keamanan untuk tugas
Kami menyarankan Anda mengonfigurasi tugas Anda untuk menggunakan mode awsvpc jaringan. Setelah Anda mengonfigurasi tugas Anda untuk menggunakan mode ini, ECS agen Amazon secara otomatis menyediakan dan melampirkan Antarmuka Jaringan Elastis (ENI) ke tugas. Ketika ENI disediakan, tugas terdaftar dalam grup keamanan. AWS Grup keamanan bertindak sebagai firewall virtual yang dapat Anda gunakan untuk mengontrol lalu lintas masuk dan keluar.
AWS PrivateLink dan Amazon ECS
AWS PrivateLink adalah teknologi jaringan yang memungkinkan Anda membuat titik akhir pribadi untuk berbagai AWS layanan, termasuk AmazonECS. Titik akhir diperlukan di lingkungan kotak pasir di mana tidak ada Internet Gateway (IGW) yang terpasang ke Amazon VPC dan tidak ada rute alternatif ke Internet. Menggunakan AWS PrivateLink memastikan bahwa panggilan ke ECS layanan Amazon tetap berada di Amazon VPC dan tidak melintasi internet. Untuk petunjuk tentang cara membuat AWS PrivateLink titik akhir untuk Amazon ECS dan layanan terkait lainnya, lihat ECSAntarmuka Amazon VPC endpoint Amazon.
penting
AWS Fargate tugas tidak memerlukan AWS PrivateLink titik akhir untuk AmazonECS.
Amazon ECR dan Amazon ECS keduanya mendukung kebijakan titik akhir. Kebijakan ini memungkinkan Anda untuk memperbaiki akses ke layanan. APIs Misalnya, Anda dapat membuat kebijakan titik akhir untuk Amazon ECR yang hanya mengizinkan gambar didorong ke pendaftar di akun tertentu. AWS Kebijakan seperti ini dapat digunakan untuk mencegah data diekstraksi melalui gambar kontainer sambil tetap memungkinkan pengguna untuk mendorong ke pendaftar Amazon ECR resmi. Untuk informasi selengkapnya, lihat Menggunakan kebijakan VPC titik akhir.
Kebijakan berikut memungkinkan semua AWS prinsipal di akun Anda untuk melakukan semua tindakan terhadap hanya repositori Amazon Anda: ECR
{ "Statement": [ { "Sid": "LimitECRAccess", "Principal": "*", "Action": "*", "Effect": "Allow", "Resource": "arn:aws:ecr:region:account_id:repository/*" }, ] }
Anda dapat meningkatkan ini lebih lanjut dengan menetapkan kondisi yang menggunakan PrincipalOrgID properti baru. Ini mencegah mendorong dan menarik gambar oleh IAM kepala sekolah yang bukan bagian dari Anda AWS Organizations. Untuk informasi selengkapnya, lihat aws: PrincipalOrg ID.
Kami merekomendasikan menerapkan kebijakan yang sama untuk kedua titik akhir com.amazonaws. dan region.ecr.dkrcom.amazonaws. titik akhir.region.ecr.api
Pengaturan agen kontainer
File konfigurasi agen ECS penampung Amazon mencakup beberapa variabel lingkungan yang berhubungan dengan keamanan jaringan. ECS_AWSVPC_BLOCK_IMDSdan ECS_ENABLE_TASK_IAM_ROLE_NETWORK_HOST digunakan untuk memblokir akses tugas ke EC2 metadata Amazon. HTTP_PROXYdigunakan untuk mengkonfigurasi agen untuk rute melalui HTTP proxy untuk terhubung ke internet. Untuk petunjuk tentang mengonfigurasi agen dan runtime Docker untuk merutekan melalui proxy, lihat HTTP Konfigurasi Proxy.
penting
Pengaturan ini tidak tersedia saat Anda menggunakan AWS Fargate.
Rekomendasi keamanan jaringan
Kami menyarankan Anda melakukan hal berikut saat menyiapkan AmazonVPC, penyeimbang beban, dan jaringan Anda.
Gunakan enkripsi jaringan jika berlaku dengan Amazon ECS
Anda harus menggunakan enkripsi jaringan jika berlaku. Program kepatuhan tertentu, seperti PCIDSS, mengharuskan Anda mengenkripsi data dalam perjalanan jika data berisi data pemegang kartu. Jika beban kerja Anda memiliki persyaratan serupa, konfigurasikan enkripsi jaringan.
Browser modern memperingatkan pengguna saat menghubungkan ke situs yang tidak aman. Jika layanan Anda dipimpin oleh penyeimbang beban yang menghadap publik, gunakanTLS/SSLuntuk mengenkripsi lalu lintas dari browser klien ke penyeimbang beban dan mengenkripsi ulang ke backend jika diperlukan.
Gunakan mode awsvpc jaringan dan grup keamanan untuk mengontrol lalu lintas antara tugas dan sumber daya lainnya di Amazon ECS
Anda harus menggunakan mode awsvpc jaringan dan grup keamanan ketika Anda perlu mengontrol lalu lintas antara tugas dan antara tugas dan sumber daya jaringan lainnya. Jika layanan Anda di belakangALB, gunakan grup keamanan untuk hanya mengizinkan lalu lintas masuk dari sumber daya jaringan lain menggunakan grup keamanan yang sama dengan AndaALB. Jika aplikasi Anda berada di belakangNLB, konfigurasikan grup keamanan tugas untuk hanya mengizinkan lalu lintas masuk dari VPC CIDR rentang Amazon dan alamat IP statis yang ditetapkan keNLB.
Grup keamanan juga harus digunakan untuk mengontrol lalu lintas antara tugas dan sumber daya lain dalam Amazon VPC seperti RDS database Amazon.
Buat ECS cluster Amazon di Amazon terpisah VPCs saat lalu lintas jaringan perlu diisolasi secara ketat
Anda harus membuat cluster di Amazon terpisah VPCs ketika lalu lintas jaringan perlu diisolasi secara ketat. Hindari menjalankan beban kerja yang memiliki persyaratan keamanan ketat pada cluster dengan beban kerja yang tidak harus mematuhi persyaratan tersebut. Jika isolasi jaringan yang ketat adalah wajib, buat cluster di Amazon terpisah VPCs dan secara selektif mengekspos layanan ke Amazon lain menggunakan endpoint VPCs Amazon. VPC Untuk informasi selengkapnya, lihat VPCtitik akhir Amazon.
Konfigurasikan AWS PrivateLink titik akhir saat diperlukan untuk Amazon ECS
Anda harus mengonfigurasi AWS PrivateLink titik akhir titik akhir saat diperlukan. Jika kebijakan keamanan mencegah Anda melampirkan Internet Gateway (IGW) ke AmazonVPCs, konfigurasikan AWS PrivateLink titik akhir untuk Amazon ECS dan layanan lain seperti Amazon ECR AWS Secrets Manager, dan Amazon. CloudWatch
Gunakan Amazon VPC Flow Logs untuk menganalisis lalu lintas ke dan dari tugas yang berjalan lama di Amazon ECS
Anda harus menggunakan Amazon VPC Flow Logs untuk menganalisis lalu lintas ke dan dari tugas yang berjalan lama. Tugas yang menggunakan mode awsvpc jaringan mendapatkan tugas mereka sendiriENI. Dengan melakukan ini, Anda dapat memantau lalu lintas yang masuk ke dan dari tugas individual menggunakan Amazon VPC Flow Logs. Pembaruan terbaru untuk Amazon VPC Flow Logs (v3), memperkaya log dengan metadata lalu lintas termasuk ID vpc, ID subnet, dan ID instans. Metadata ini dapat digunakan untuk membantu mempersempit penyelidikan. Untuk informasi selengkapnya, lihat Amazon VPC Flow Logs.
catatan
Karena sifat kontainer sementara, log aliran mungkin tidak selalu menjadi cara yang efektif untuk menganalisis pola lalu lintas antara kontainer atau kontainer yang berbeda dan sumber daya jaringan lainnya.
