CON307 | 使用 Amazon Elastic Container Service 安全功能保护生产

CON307 | 使用 Amazon Elastic Container Service 安全功能保护生产

关键字: [Amazon Web Services re:Invent 2023, Amazon Elastic Container Service (ECS), Security Features, Ecs Security, Network Isolation, Credentials Isolation, Container Secrets]

本文字数: 2300, 阅读完需: 12 分钟

视频

导读

借助 Amazon Elastic Container Service，您可使用亚马逊云科技的内置安全功能来保护应用程序。在本次分享中，了解可以通过哪些安全功能保护应用程序，您可使用 IAM Roles 部署安全应用程序以完成任务，并使用安全组部署网络安全。还可了解如何向容器提供机密和机密信息。

演讲精华

以下是小编为您整理的本次演讲的精华，共2000字，阅读时间大约是10分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

许多组织现在都非常关注保护云计算应用。随着企业越来越依赖云来处理关键工作负载，他们需要确保他们的应用程序、资产和客户数据将得到保护。这是亚马逊云科技在年度re:Invent上发表演讲的核心主题。来自亚马逊弹性容器服务（ECS）团队的资深领导者作为演讲者，深入探讨了ECS如何融入安全功能以保护容器化应用。

讲座从ECS的高级产品经理Spiros Tsitsonis开始，他强调安全性是亚马逊云科技的首要任务。他解释说，客户非常关心保护他们的应用和数据，尤其是他们自己客户的任何个人身份信息（PII）。大多数隐私法规和标准机构主要关注的是保护PII。因此，遵守关键法规的能力已经成为考虑的任何云解决方案的基本要求。

Spiros提供了Canva的例子，这是一个视觉协作平台，于2019年11月在ECS上启动。Canva选择在其图像处理工作流程上构建ECS，因为服务为其使用案例提供了所需的可靠性、可扩展性和安全性。在启动后的第一年，Canva的使用量翻了三倍，每周创建的演示文稿超过600万。ECS为Canva提供了一个在安全模式下支持这一快速增长的平台。像Canva一样，数千名具有不同安全背景的客户今天正在利用ECS。尽管他们的需求各异，但一些共同的主题出现了——用户身份验证和授权、数据加密、资产识别、网络和应用边界保护、安全监控和漏洞管理的需求。

亚马逊云科技在安全方面遵循共享责任模式。亚马逊云科技负责保护底层云基础设施的安全，而客户负责云中的安全——包括保护他们的应用、数据和设置适当的访问策略。ECS作为一种服务已经部署了多年，适用于数千名客户。其成熟度和稳定性，结合持续的合规性，推动了其高速增长。亚马逊云科技维持各种认证并经历审计，以确保ECS符合关键标准。随着法规的变化，亚马逊云科技会调整ECS以适应新的要求。

容器设计的目的是为了封装和隔离资源，从而带来内在的安全性。亚马逊弹性容器服务（ECS）是一款完全托管的容器编排服务，让用户能够轻松部署、管理和扩展容器化应用程序。ECS支持在多个可用区和地域中部署应用程序，从而实现工作负载的地理隔离。

ECS可以通过两种方式运行：一种是使用EC2，即在为容器实例配置资源的亚马逊弹性计算云上；另一种是无服务器的Fargate模式，该模式由亚马逊云科技管理底层基础设施。这两种模式都提供了安全隔离，但方式不同。

相较于EC2，Fargate在任务层面进行隔离。每个任务都有自己的专用计算、存储、网络和凭证，任务之间完全隔离。这种隔离程度相较于EC2大大缩小了攻击范围。唯一需要信任的边界是任务本身。

亚马逊云科技的资深软件工程师Sharanya Devaraj深入研究了中国ECS的特定安全功能。她围绕常见用例和人物角色构建了讨论结构。

对于基础架构管理，DevOps工程师需要能够定期修补和更新平台。使用Fargate，亚马逊云科技在后台透明地处理这一点。一旦发现漏洞，Fargate就会弃用较旧的平台版本。用户将收到通知，他们的任务将被自动转移到更新的补丁平台上。

对于EC2，亚马逊云科技发布了包含已修补软件版本的已更新ECS机器映像（AMI）。用户必须使用新AMI更新其ECS集群。可以使用SSM在原地执行此操作，也可以滚动更新集群。对于完全自定义的AMI或本地环境，用户需要处理所有修补。相比之下，Fargate最简单，用户无需付出任何努力，而EC2和自定义则需要更多的工作。

从应用开发者的视角来看，细粒度权限至关重要。为了限制服务意外或恶意访问彼此的数据，开发者需要利用ECS任务角色的功能。任务角色允许将IAM角色直接分配给每个任务，从而实现权限隔离。这样，使用任务承担角色就可以获取临时凭证以访问其他亚马逊云科技服务，而不需要使用明文环境变量。通过这种方式，CloudTrail可以记录通过角色进行的全部活动。例如，某个服务A的任务只能具有SSM参数的只读访问权，而服务B的任务则可以拥有读写S3权限。这些角色仅仅限制了对预期资源的访问。相较于使用明文凭据，ECS任务角色能够提供更高级别的安全性。在网络安全方面，ECS任务网络允许将弹性网络接口（ENIs）分配给任务。这样可以实现网络隔离、流量管理和任务级别的安全组规则。云计算架构师可以构建具有公共Web层和私有后端层的多层应用程序。规则将允许Web层到达后端，但反之则不行。ENI中继扩展了高密度工作负载的ENI限制。应用开发者需要在安全地将密码等秘密注入到容器中。ECS机密功能允许您从秘钥管理员或SSM参数存储引用敏感数据，而不是捆绑明文秘密。ECS会处理将这些秘密作为环境变量或日志配置注入的问题。对于Fargate，您可能希望在不需要完全根访问的情况下授予容器特定的Linux能力。您可以添加粒度能力到容器而无需使用特权模式。最后，从云计算架构师的角度来看，控制资源访问非常重要。ECS支持对集群、任务和服务等资源进行标记。这些标签然后可以在IAM策略中使用以管理权限。例如，一个策略可能允许开发人员只能创建/删除标记为'dev'的集群。这将防止在生产环境中出现错误或访问滥用。总的来说，ECS在所有级别上整合了安全，从基础设施到应用：

• 基础设施通过Fargate自动补丁和更新，而EC2 AMI允许手动控制。
• 使用IAM角色而非明文环境变量，每任务都有独立的凭据。
• 网络控制、安全组和ENI隔离阻止了应用程序层之间的不必要的通信。

参数存储和密钥管理可以安全地注入密钥。

• 粒度细腻的Linux能力提供最小权限访问。

• 资源标签化实现了跨ECS的精细访问控制。

通过这些功能，客户可以自信地部署和扩展容器化应用程序。从设计之初，ECS就高度重视安全性，并通过与亚马逊云科技安全服务的集成，不断提升保护措施。任务级别的隔离和深度防御安全措施相结合，使得组织在加速云计算采用的同时，能够保持监管和合规性。

下面是一些演讲现场的精彩瞬间：

在re:Invent期间，一位领导者主持了一场关于保护ECS容器工作负载而非观看世界杯的会议。

在这次会议上，他谈到了Canva公司选择利用亚马逊ECS来构建一个可靠、可扩展且安全的平台，以便更好地保护用户内容。

亚马逊云科技为客户，如Canva，提供了强大的安全功能，包括用户身份验证、授权、加密和网络保护。

由于符合主要的监管标准，亚马逊ECS使得客户能够将容器化应用程序安全地迁移到云端。

通过在任务级别实现隔离，Fargate确保了每个任务都有自己的计算、存储、网络和补丁，从而减少攻击范围并将任务间的资源共享降至最低。

亚马逊云科技在整个基础设施、任务、容器和应用层面都提供了全面的安全功能，以帮助客户构建安全的无服务器应用。

为了提供更多关于演示中讨论的新亚马逊云科技功能的信息，演讲者提供了一些有用的链接。

总结

亚马逊ECS是一种完全托管的容器编排服务，使得客户能够轻松部署、管理和扩展容器化应用程序。在本次re:Invent上，来自ECS团队的Spiros Tsitsonis和Sharanya Devaraj讨论了安全性的重要性，并详细阐述了ECS的关键安全功能。

演讲从强调安全和亚马逊云科技以及ECS的重要性开始。客户关心保护他们的数据，尤其是个人可识别信息。因此，遵守如欧盟通用数据保护条例（GDPR）等法规对于任何云解决方案都至关重要。ECS致力于通过与亚马逊云科技的其他服务（如IAM、Secrets Manager和VPC网络）紧密集成来提供安全的容器环境。

演讲者随后深入探讨了ECS在整个架构上的安全功能——从基础设施到容器再到应用。在基础设施层面，Fargate在后台管理补丁和升级。对于EC2，客户可以使用自动缩放组和容量提供者来推出已修补的镜像。任务IAM角色实现了精细粒度的权限，以便服务只能访问所需资源。亚马逊云科技VPC网络带来了安全组、网络ACL和流日志。可以通过Secrets Manager和SSM参数存储安全地将密钥传递给容器。Linux功能允许授予特定的提升特权，而无需完整的根访问。最后，可以对如集群和任务等资源进行标记，以启用基于策略的访问控制。

演讲最终以重申安全已嵌入ECS的设计和亚马逊云科技的共享责任模型结束。ECS将继续发展，集成最新的亚马逊云科技安全服务、开放标准和合作伙伴解决方案，帮助客户大规模运行安全和合规的工作负载。

演讲原文

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。