Was ist AWS Container Security?

AWS Container Security ist:

geteilte Verantwortung zwischen AWS und dem Kunden. Die Kundenverantwortung erfordert einen umfassenden Ansatz aus Zugangskontrollen, Schwachstellenmanagement und Laufzeitschutz.

AWS Container Security

Amazon Web Services (AWS) ist ein Cloud Service Provider, der Unternehmen jeder Art und Größe Speicherplatz, Rechenleistung, Inhalte und andere Funktionen bietet. Amazon Web Services ist für schnelle Anwendungsentwicklung und -bereitstellung konzipiert. Es verfügt über die Skalierbarkeit und Zuverlässigkeit, für die Amazon bekannt ist. Die Produkte reichen von Analysen und Datenspeicherung bis hin zu Blockchain und Containern.

AWS Container kommen sehr häufig zum Einsatz, weil sie ermöglichen, Applikationen auf einfache Weise zu verpacken, bereitzustellen und auszuführen. Sicherheit ist bei AWS entscheidend für den Erfolg einer Container-Strategie.

AWS Verantwortung vs. Kundenverantwortung

AWS ist für die Sicherheit  der Cloud  einschließlich der Container-Infrastruktur verantwortlich. Es bleibt jeder Organisation überlassen, für die Sicherheit  innerhalb  der Cloud zu sorgen und sich um geeignete Schutzfunktionen für die Inhalte der einzelnen Container, der Daten und der allgemeinen Service-Konfiguration zu kümmern. Das  Shared Responsibility Model  von Amazon beschreibt eindeutig, an welcher Stelle die Verantwortung von Amazon endet und die des jeweiligen Unternehmens beginnt. Außerdem benennt es die zusätzlichen Services, die nötig sein könnten, um Compliance und Sicherheit zu gewährleisten.

Aspekte, die zu beachten sind

Dies sind einige Aspekte, die in Bezug auf den Schutz Ihrer AWS Container zu berücksichtigen sind:

  • Host
  • Images 
  • Zugriff 
  • Geheimnisse


Schützen Sie Ihren Host

Der Schutz Ihres Container-Host-Betriebssystems (OS) ist entscheidend für den Schutz Ihrer AWS Container. Da sich mehrere Container häufig denselben Host teilen, kann ein Angriff auf diesen möglicherweise den Zugriff auf alle Container auf diesem Host oder sogar innerhalb Ihrer ganzen Umgebung ermöglichen.

Sie müssen für jeden ausgewählten Host Zugangskontrollen festlegen und sollten auch Ihre Sicherheits- und ständigen Überwachungstools einsetzen. Dadurch ist sichergestellt, dass Ihre Hosts so arbeiten, wie Sie es erwarten, und dass nach der Einrichtung keine Schwachstellen auftauchen.

Konsequentes Scannen von Container-Images

Es ist essenziell, die Images regelmäßig zu scannen und zu analysieren, damit in der Build-Phase nur genehmigte Images zugelassen und in der Produktion nur konforme Images ausgeführt werden. Schlecht konfigurierte Images sind ein leichtes Spiel für Angreifer, die sich Zugang zum Netzwerk verschaffen wollen. AWS fordert seine Kunden dazu auf, Partnerlösungen für das Scannen von Container-Images zu nutzen.

Es gibt außerdem Software, die die Integrität, die Authentizität und das Veröffentlichungsdatum aller Images in ausgewählten Registrys überprüfen kann.

Zugriff und Berechtigungen einschränken

Entwicklern, die schnell eine Aufgabe erledigen müssen, Administratorrechte zu geben, erscheint bequem. Jedoch kann dies blitzschnell Ihre Container und potenziell die gesamte AWS Umgebung kompromittieren. Indem Sie den Zugriff auf Services kontrollieren und die Berechtigungen für einzelne Aufgaben beschränken, können Sie die Wahrscheinlichkeit bösartiger Angriffe durch Insider deutlich reduzieren.

Es ist wichtig, individuelle Zugriffsrechte und Berechtigungen anzupassen, wenn sich die Aufgaben von Mitarbeitern ändern oder Mitarbeiter das Unternehmen verlassen.

Geheimnisse sicher speichern

Zu den Geheimnissen gehören alle Komponenten, für die Sie den Zugriff engmaschig kontrollieren wollen, etwa Passwörter, Zertifikate oder API-Schlüssel. Geheimnisse sind für IT-Operations-Teams und Entwickler bestimmt. Mit ihrer Hilfe können sie Anwendungen entwickeln und ausführen, die sensible Daten schützen und den Zugriff darauf nur dann zulassen, wenn sie für die Ausführung des richtigen Containers benötigt werden.

Geheimnisse können Sie über den AWS Secrets Manager oder eine IAM-Richtlinie (Identity and Access Management) sicher speichern, um zu gewährleisten, dass nur berechtigte Anwender Zugriff erhalten. Diese können auch von externen Anbietern gemanagt werden, die sich um die Verwaltung von Geheimnissen kümmern.

Schutz von AWS Containern

Letztendlich ist die Verantwortung des Kunden für die Sicherheit von AWS-Containern nur so stark wie die Schritte, die zu ihrer Durchsetzung unternommen werden. Wenn Unternehmen in jeder Phase des Container-Lebenszyklus auf Best Practices für Sicherheit bauen, können sie sich darauf verlassen, dass alle vertraulichen und sensiblen Anwendungsdaten in der Cloud sicher sind.

 

Container Security – Themen