Ответственность за безопасность контейнеров в AWS делится между клиентами и сервисом. Клиент должен реализовать комплексный подход к контролю доступа, управлению уязвимостями и защите среды выполнения.
Содержание
Безопасность контейнеров в AWS
Amazon Web Services (AWS) — это поставщик услуг облачных вычислений, который предлагает функциональность для хранения данных и работы с сетями доставки контента, вычислительные мощности и другие возможности для самых разных организаций. Платформа Amazon Web Services предназначена для быстрого создания и развертывания приложений и обеспечивает высокий уровень надежности и масштабируемости. Продукты AWS относятся к разным категориям: от аналитики и хранилищ до блокчейна и контейнеров.
Контейнеры на AWS пользуются особенной популярностью, поскольку с ними организациям намного легче создавать, доставлять и запускать приложения. Однако чтобы воспользоваться всеми их преимуществами, необходимо позаботиться о безопасности.
Разделение ответственности между AWS и клиентом
AWS отвечает за безопасность самого облака, включая инфраструктуру контейнеров. Обеспечение безопасности в облаке — обязанность каждой организации, она должна обеспечить надлежащую защиту содержимого отдельных контейнеров, безопасность данных и общей конфигурации услуги. Модель общей ответственности, приведенная на сайте Amazon, четко описывает, что входит в обязанности AWS, а что — в обязанности клиента. Также там упомянуты дополнительные сервисы, которые могут понадобиться для обеспечения безопасности и соответствия требованиям.
Что нужно учесть
При обеспечении безопасности контейнеров в AWS нужно учесть следующее:
- хосты;
- образы контейнеров;
- доступ;
- конфиденциальные данные.
Защищенность хостов
Безопасность контейнеров во многом зависит от защищенности операционной системы их хостов. Поскольку у нескольких контейнеров зачастую один и тот же хост, его взлом может привести к получению доступа ко всем контейнерам на этом хосте или даже во всей среде.
По этой причине на каждом хосте следует установить средства контроля доступа, а также инструменты безопасности и непрерывного мониторинга. Это необходимо для гарантии правильной работы хоста и устранения рисков безопасности до развертывания приложений.
Регулярное сканирование образов контейнеров
Также для безопасности важную роль играет сканирование и анализ образов — только проверенные образы допускаются к сборке и только надежные образы запускаются в среде эксплуатации. Образы с неправильной конфигурацией становятся легкой мишенью для злоумышленников, которые хотят получить доступ в сеть. Для сканирования образов AWS рекомендует использовать решения от партнеров AWS.
Также существует программное обеспечение для проверки целостности, подлинности и даты публикации образов в некоторых реестрах.
Ограничения доступа и привилегий
Казалось бы, для быстрого выполнения задач можно дать разработчикам права администратора. На деле это может быстро привести к компрометации контейнера, а возможно, и всей среды на AWS. Контроль доступа к сервисам и ограничение уровня разрешений для каждой задачи значительно снизит вероятность атаки изнутри организации.
При этом нельзя забывать о необходимости пересмотреть привилегии пользователя, если его роль в компании изменилась или была ликвидирована.
Надежное хранение секретов
Секретные данные, или секреты, — это пароли, сертификаты, API-ключи и подобные им данные, доступ к которым необходимо строго контролировать и которые сами служат для доступа к важным ресурсам. Они позволяют разработчикам и ИТ-командам создавать и использовать более безопасные приложения, которые предоставляют доступ к чувствительной информации только в тех случаях, когда она необходима контейнеру для работы.
Для защиты секретных данных можно использовать сервис AWS Secrets Manager или политику управления идентификацией и доступом (IAM), чтобы доступ получали только доверенные пользователи. Также для этого можно задействовать решения сторонних поставщиков.
Заключение
Защита контейнеров в AWS — это обязанность клиента, поэтому следует серьезно обдумать меры, которые обеспечат вам нужный уровень безопасности. Если придерживаться лучших практик безопасности на каждом этапе жизненного цикла контейнеров, вы можете быть уверенными в том, что ваши данные в облаке надежно защищены.
Фернандо Кардосо занимает должность вице-президента по управлению продуктами в Trend Micro. Особое внимание он уделяет постоянно меняющимся технологиям ИИ и облаков. Он начал карьеру как инженер по сетям и инженер по продажам в сфере центров обработки данных, облака, DevOps и кибербезопасности. Эти темы по-прежнему увлекают его.