За безопасность контейнеров в AWS несут общую ответственность как клиенты, так и AWS. Клиент должен реализовать комплексный подход к контролю доступа, управлению уязвимостями и защите среды выполнения.
Безопасность контейнеров в AWS
Amazon Web Services (AWS) — это поставщик услуг облачных вычислений, который предлагает функциональность для хранения данных и работы с сетями доставки контента, вычислительные мощности и другие возможности для самых разных организаций. Платформа Amazon Web Services предназначена для быстрого создания и развертывания приложений и обеспечивает высокий уровень надежности и масштабируемости. Продукты AWS относятся к разным категориям: от аналитики и хранилищ до блокчейна и контейнеров.
Контейнеры на AWS пользуются особенной популярностью, поскольку с ними организациям намного легче создавать, доставлять и запускать приложения. Однако чтобы воспользоваться всеми их преимуществами, необходимо позаботиться о безопасности.
Разделение ответственности между AWS и клиентом
AWS отвечает за безопасность самого облака, включая инфраструктуру контейнеров. Обеспечение безопасности в облаке — обязанность каждой организации, она должна обеспечить надлежащую защиту содержимого отдельных контейнеров, безопасность данных и общей конфигурации услуги. Модель общей ответственности, приведенная на сайте Amazon, четко описывает, что входит в обязанности AWS, а что — в обязанности клиента. Также там упомянуты дополнительные сервисы, которые могут понадобиться для обеспечения безопасности и соответствия требованиям.
Что нужно учесть
При обеспечении безопасности контейнеров в AWS нужно учесть следующее:
Защищенность хостов
Безопасность контейнеров во многом зависит от защищенности операционной системы их хостов. Поскольку у нескольких контейнеров зачастую один и тот же хост, его взлом может привести к получению доступа ко всем контейнерам на этом хосте или даже во всей среде.
По этой причине на каждом хосте следует установить средства контроля доступа, а также инструменты безопасности и непрерывного мониторинга. Это необходимо для гарантии правильной работы хоста и устранения рисков безопасности до развертывания приложений.
Регулярное сканирование образов контейнеров
Также для безопасности важную роль играет сканирование и анализ образов — только проверенные образы допускаются к сборке и только надежные образы запускаются в среде эксплуатации. Образы с неправильной конфигурацией становятся легкой мишенью для злоумышленников, которые хотят получить доступ в сеть. Для сканирования образов AWS рекомендует использовать решения от партнеров AWS.
Также существует программное обеспечение для проверки целостности, подлинности и даты публикации образов в некоторых реестрах.
Ограничения доступа и привилегий
Казалось бы, для быстрого выполнения задач можно дать разработчикам права администратора. На деле это может быстро привести к компрометации контейнера, а возможно, и всей среды на AWS. Контроль доступа к сервисам и ограничение уровня разрешений для каждой задачи значительно снизит вероятность атаки изнутри организации.
При этом нельзя забывать о необходимости пересмотреть привилегии пользователя, если его роль в компании изменилась или была ликвидирована.
Надежно храните секреты
Секретные данные, или секреты (secrets) — это пароли, сертификаты, API-ключи и подобные им данные, доступ к которым необходимо строго контролировать, и которые сами служат для доступа к важным ресурсам. Они позволяют разработчикам и IT-командам создавать и использовать более безопасные приложения, которые предоставляют доступ к чувствительной информации только в тех случаях, когда она необходима контейнеру для работы.
Для защиты секретных данных можно использовать сервис AWS Secrets Manager или политику управления идентификацией и доступом (IAM), чтобы доступ получали только доверенные пользователи. Также для этого можно задействовать решения сторонних поставщиков.
Заключение
Защита контейнеров в AWS — это обязанность клиента, поэтому следует серьезно обдумать меры, которые обеспечат вам нужный уровень безопасности. Если придерживаться лучших практик безопасности на каждом этапе жизненного цикла контейнеров, вы можете быть уверенными в том, что ваши данные в облаке надежно защищены.
Исследования по теме
Статьи по теме