Amazon ECS에 대한 Amazon EC2 컨테이너 인스턴스 보안 고려 사항 - Amazon Elastic Container Service

Amazon ECS에 대한 Amazon EC2 컨테이너 인스턴스 보안 고려 사항

위협 모델 내에서 단일 컨테이너 인스턴스와 이 인스턴스의 액세스를 고려해야 합니다. 예를 들어 영향을 받는 단일 작업이 동일한 인스턴스에서 감염되지 않은 작업의 IAM 권한을 활용할 수 있습니다.

이러한 문제를 방지하려면 다음을 사용하는 것이 좋습니다.

  • 작업을 실행할 때 관리자 권한을 사용하지 마세요.

  • 작업에 대한 최소 액세스 권한을 갖는 작업 역할을 할당합니다.

    컨테이너 에이전트는 Amazon ECS 리소스에 액세스하는 데 사용되는 고유한 보안 인증 ID가 있는 토큰을 자동으로 생성합니다.

  • awsvpc 네트워크 모드를 사용하는 작업에서 실행하는 컨테이너가 Amazon EC2 인스턴스 프로파일에 제공된 보안 인증 정보에 액세스하지 못하게 방지하려면(단, 작업 역할에 제공된 권한은 허용) 에이전트 구성 파일에서 ECS_AWSVPC_BLOCK_IMDS 에이전트 구성 변수를 true로 설정하고 에이전트를 다시 시작합니다.

  • Amazon GuardDuty Runtime Monitoring을 사용하여 AWS 환경 내 클러스터 및 컨테이너에 대한 위협을 감지합니다. Runtime Monitoring은 파일 액세스, 프로세스 실행 및 네트워크 연결과 같은 개별 Amazon ECS 워크로드에 대한 런타임 가시성을 추가하는 GuardDuty 보안 에이전트를 사용합니다. 자세한 내용은 GuardDuty 사용 설명서의 GuardDuty Runtime Monitoring을 참조하세요.