AWS 容器保安是一個 AWS 及客戶共同負擔的責任。用戶責任需要以全方位方式對應,包括進入管控、漏洞管理及運作期防護。
AWS 容器保安
Amazon Web Services(AWS)是提供儲存、運算能力、內容發送及其他功能的雲服務商,專門服務不同形態與規模的機構。Amazon Web Services 以他們一貫的可擴縮性及可靠性,專為快速設計及部署應用程式而設計。其產品包羅萬有,包括分析、存儲、區塊鏈以至容器。
AWS 容器亦因可以提供簡單方式組合、交付及運行應用程式而極受歡迎。保安是 AWS 容器策略能否成功的關鍵一環。
AWS 責任對比用戶責任
AWS 負責雲端的保安,包括容器基礎架構。雲端內 的保安則需要不同的用戶機構負責,包括為個別容器的內容、資料及整體服務配置設定合適的防護。Amazon 的責任共享模式清楚列明他們與用戶的責任,亦列出了要確保合規及保安而可能需要的額外服務。
要考慮的事項
以下為保護您在 AWS 上的容器時要考慮的事項:
保護網絡主機
保護容器主機的作業系統是保護 AWS 容器的關鍵一環。由於多重容器通常都會共用同一網絡主機,假如主機被入侵,所有在同一主機上的容器,甚至整個環境,都會被侵入。
在選用網絡主機時,您應在每一網絡主機上應用登入管控,並加入保安系統及持續監控工具。這確保您的網絡主機可以依您期望的運作,且不會產生部署後的漏洞。
持續掃瞄容器影像
用戶應定期掃瞄及分析影像,在建構階段只應容許已核准的影像,而在生產期則只准合規的影像運作。配置欠佳的影像令攻擊者很容易就進入網絡。AWS 鼓勵用戶採用業務夥伴方案來進行容器影像掃瞄。
有些軟件可以確認在所選註冊表上影像的完整性、真實性及發佈日期。
限制登入及權限
雖然給予開發人員管理權限可以帶來方便及讓他們更快速執行任務,但這亦是侵入容器的最快途徑,甚至整個 AWS 環境都可能因而被入侵。管制服務存取及限制因應每個任務而批出的權限,您可以大幅減少內部惡意攻擊的可能性。
更重要的是,您必須緊記在員工角色轉變的時候調整其個人存取權限,甚至將權限完全移除。
安全地存儲機密
機密包括密碼、證書、API 鑰匙或任何您想緊緊控制其存取的資料。這些都是為資訊科技團隊及開發人員而設的,讓他們可以建構及運行更安全的應用程式,以保護機密資料及只容許專用容器在需要運作時存取。
機密可以安全地透過 AWS Secrets Manager 儲存或以 IAM(身份及存取管理)政策來確保只有經批准的用戶才可存取。這亦可以由第三方機密管理供應商進行管理。
保護 AWS 容器
AWS 容器保安的效能將視乎用戶所採取及執行的保安措施。假如在容器週期的每一階段都著意加入保安最佳實務,機構將更可確保在雲端的機密及敏感應用程式數據是安全的。