Che cos'è la sicurezza dei container di AWS?

AWS Container Security è una responsabilità condivisa tra AWS e il cliente. La responsabilità del cliente richiede un approccio globale ai controlli di accesso, alla gestione delle vulnerabilità e alla protezione in fase di esecuzione.

Sicurezza dei container di AWS

Amazon Web Services (AWS) è un fornitore di servizi cloud che offre spazio di memorizzazione, potenza di calcolo, distribuzione di contenuti e altre funzionalità alle aziende di ogni forma e dimensione. Amazon Web Services  è pensato per offrire una rapida progettazione e distribuzione delle applicazioni, insieme alla scalabilità e all'affidabilità per cui Amazon è famosa. I suoi prodotti spaziano dagli strumenti di analisi e archiviazione alla blockchain e ai container.

I container su AWS sono estremamente popolari, in quanto forniscono un modo semplice per impacchettare, distribuire ed eseguire le applicazioni. La sicurezza è essenziale per il successo di una strategia che prevede l'utilizzo di container su AWS.

Responsabilità di AWS vs. responsabilità del cliente

AWS è responsabile della sicurezza del  cloud, inclusa l'infrastruttura a supporto dei container. Per quanto riguarda la sicurezza nel cloud, ogni specifica azienda è tenuta a configurare le opportune protezioni per i contenuti dei singoli container, i dati e la configurazione generale del servizio. Il modello di responsabilità condivisa di Amazon delinea chiaramente dove finiscono le sue responsabilità e dove iniziano quelle della specifica azienda, definendo servizi aggiuntivi che potrebbero essere necessari per garantire conformità e sicurezza.

Elementi da considerare

Ecco alcuni fattori da considerare nella protezione dei container su AWS:

  • Host
  • Immagini 
  • Accesso 
  • Segreti


Protezione dell'host

Proteggere il sistema operativo (OS) host del container è fondamentale per proteggere i container su AWS. Poiché più container spesso condividono lo stesso host, una sua violazione può potenzialmente fornire l'accesso a tutti i container ospitati su di esso o anche all'interno dell'intero ambiente.

Quando si sceglie l'host, è necessario applicare gli opportuni controlli di accesso e dovrebbero essere anche aggiunti i necessari strumenti di sicurezza e di monitoraggio continuo. Questo assicura che gli host funzionino come atteso e che non siano introdotte vulnerabilità post-deployment.

Scansione continua delle immagini dei container

È fondamentale scansionare e analizzare regolarmente le immagini, consentendo l'utilizzo delle sole immagini approvate durante la fase di sviluppo e l'esecuzione nell'ambiente di produzione delle sole immagini conformi. Le immagini mal configurate sono tra i modi più semplici sfruttati dagli aggressori per accedere alla rete. AWS incoraggia i clienti a sfruttare le soluzioni dei partner per la scansione delle immagini dei container.

È inoltre disponibile un software in grado di verificare l'integrità, l'autenticità e la data di pubblicazione di tutte le immagini disponibili su registri selezionati.

Limitazione di accesso e privilegi

Per una rapida esecuzione delle attività, potrebbe sembrare comodo garantire agli sviluppatori i diritti di amministratore. Questo è uno dei modi più veloci per compromettere il container e, potenzialmente, l'intero ambiente AWS. Controllando l'accesso ai servizi e limitando il livello di autorizzazioni concesse a ciascuna attività, è possibile ridurre notevolmente la probabilità di un attacco dannoso dall'interno.

È importante ricordare di modificare le credenziali di accesso e i privilegi individuali quando i ruoli dei dipendenti all'interno dell'azienda cambiano o vengono eliminati del tutto.

Conservazione sicura dei segreti

Sono considerati segreti le password, i certificati, le chiavi API o tutti gli elementi ai quali si desidera controllare strettamente l'accesso. Questi sono progettati a uso dei team operativi e degli sviluppatori IT per poter realizzare ed eseguire meglio applicazioni più sicure che mantengono le informazioni riservate private e accessibili solo quando necessario dall'esatto container che ne ha bisogno per funzionare.

I segreti possono essere archiviati in modo sicuro usando AWS Secrets Manager o una policy IAM (Identity and Access Management) per garantire che solo gli utenti approvati vi abbiano accesso. I segreti possono anche essere gestiti da provider di gestione dei segreti di terze parti.

Protezione dei container di AWS

Alla fine, la sicurezza degli aspetti di responsabilità del cliente relativamente ai container AWS è tanto forte quanto le operazioni che vengono intraprese per imporla. Applicando opportunamente le best practice di sicurezza in ogni fase del ciclo di vita del container, le aziende possono essere certe che tutti i dati riservati e sensibili delle applicazioni in cloud siano al sicuro.