AWS 容器的防護是一項 AWS 與客戶之間共同分擔的責任,客戶端需要一套完整的方法來履行其應盡義務,包括:存取控管、漏洞管理以及執行時期防護。
AWS 容器防護
Amazon Web Services (AWS) 是一家雲端服務供應商,提供儲存、運算、內容供應以及其他功能給各行各業、各種規模的企業機構使用。Amazon Web Services 是專為讓應用程式能快速設計及部署而打造,同時亦提供 Amazon 舉世聞名的擴充性與穩定性。其豐富的產品陣容從數據分析與儲存,到區塊鏈與容器應有盡有。
AWS 容器非常受到歡迎,因為該廠商提供了一套簡易的方法來打包、發布及執行應用程式,而資安是您在 AWS 上實現容器策略的成功基礎。
AWS 的責任與客戶的責任
AWS 必須負責雲端「本身」(包括容器基礎架構) 的安全,但雲端「內部」的安全,卻是每家企業自己的責任,企業必須設置適當的防護來確保其個別容器內容、資料與整體服務組態設定的安全。Amazon 在共同分擔責任的架構之下,明確劃分了哪些是他們的責任,哪些則是企業的責任,並且列出企業可能需要哪些其他的服務來落實資安與法規遵循。
需要考量的層面
以下是確保 AWS 上的容器安全無虞所需考量的一些層面:
保護您的主機
保護您的容器主機作業系統 (OS) 對於保護 AWS 上的容器安全至關重要。由於同一台主機上會執行好多個容器,所以萬一主機遭到入侵,主機上的所有容器都可能會有危險,甚至波及您環境內的其他容器。
當您在選擇主機時,您必須對每一台主機套用存取控管,此外也要加入資安防護以及後續監控的工具。如此才能確保您的主機會按照您的期望來運作,並且不會在部署之後又出現漏洞。
持續一致的容器映像掃描
映像的定期掃描與分析非常重要,而且在建構階段應該只允許使用已核准的映像,同時也唯有符合要求的映像才可在營運環境執行。組態設定不當的映像是駭客入侵網路最容易的途徑之一。AWS 鼓勵客戶採用合作夥伴解決方案來提供容器映像掃描功能。
市面上有些軟體可用來檢查容器登錄內所有映像的一致性、真實性與發佈日期。
管制存取與權限
讓開發人員擁有系統管理權限雖然看似方便,而且作業上也更迅速,但這卻也是駭客入侵您容器、甚至您整個 AWS 環境最快的方式之一。藉由管制服務的存取與限制每一項作業的權限,您就能大幅減少來自內部的惡意攻擊。
很重要的一點是,當公司內部員工發生職務異動或離職時,請務必記得調整其存取權限。
安全地儲存機密
所謂的機密,就是任何您希望嚴格管制存取的資料,例如:密碼、憑證或 API 金鑰。這些資料為了讓 IT 營運團隊與開發人員更方便建構且更安全地執行應用程式,避免敏感的資訊公開,同時僅允許真正需要在運作時用到的容器存取。
機密資料可以透過 AWS Secrets Manager 或 Identity and Access Management (IAM) 政策來安全地儲存,確保僅有經過核准的使用者可存取。也可透過第三方機密管理供應商來加以管理。
保護 AWS 容器
確保 AWS 容器安全最終還是客戶的責任,但能做到多好,是要視客戶如何真正落實。因此,企業若能有意識地將資安最佳實務原則融入容器生命週期的每一個階段當中,就能確保所有機密及敏感的應用程式資料在雲端內的安全,進而高枕無憂。