AWS Container Security ist eine der gemeinsamen Verantwortlichkeiten von AWS und dem Kunden. Der Verantwortungsbereich des Kunden erfordert einen umfassenden Ansatz aus Zugangskontrollen, Schwachstellenmanagement und Laufzeitschutz.
Amazon Web Services (AWS) ist ein Cloud Service Provider, der Unternehmen jeder Art und Größe Speicherplatz, Rechenleistung, Inhalte und andere Funktionen bietet. Amazon Web Services ist für schnelle Anwendungsentwicklung und -bereitstellung konzipiert. Es verfügt über die Skalierbarkeit und Zuverlässigkeit, für die Amazon bekannt ist. Die Produkte reichen von Analysen und Datenspeicherung bis hin zu Blockchain und Containern.
AWS-Container kommen häufig zum Einsatz, weil sie ermöglichen, Applikationen auf einfache Weise zu verpacken, bereitzustellen und auszuführen. Sicherheit ist bei AWS entscheidend für den Erfolg einer Container-Strategie.
AWS ist für die Sicherheit der Cloud verantwortlich. Dazu gehört auch die Container-Infrastruktur. Für die Sicherheit in der Cloud müssen die einzelnen Unternehmen selbst die erforderlichen Schutzmaßnahmen für die Inhalte einzelner Container, Daten und der gesamten Service-Konfiguration treffen. Das Shared-Responsibility-Modell von Amazon beschreibt eindeutig, an welcher Stelle der Verantwortungsbereich von Amazon endet und der des jeweiligen Unternehmens beginnt. Außerdem nennt es zusätzliche Services, die zur Gewährleistung von Compliance und Sicherheit benötigt werden könnten.
Dies sind einige Aspekte, die in Bezug auf den Schutz Ihrer AWS Container zu berücksichtigen sind:
Der Schutz Ihres Container-Host-Betriebssystems (OS) ist entscheidend für den Schutz Ihrer AWS Container. Da sich mehrere Container häufig denselben Host teilen, kann ein Angriff auf diesen den Zugriff auf alle Container auf diesem Host oder sogar innerhalb Ihrer ganzen Umgebung ermöglichen.
Sie müssen für jeden ausgewählten Host Zugangskontrollen festlegen und sollten auch Ihre Sicherheits- und ständigen Überwachungstools einsetzen. Dadurch ist sichergestellt, dass Ihre Hosts so arbeiten, wie Sie es erwarten, und dass nach der Einrichtung keine Schwachstellen auftauchen.
Es ist essenziell, die Images regelmäßig zu scannen und zu analysieren, damit in der Build-Phase nur genehmigte Images zugelassen und in der Produktion nur konforme Images ausgeführt werden. Schlecht konfigurierte Images sind ein leichtes Spiel für Angreifer, die sich Zugang zum Netzwerk verschaffen wollen. AWS fordert seine Kunden dazu auf, Partnerlösungen für das Scannen von Container-Images zu nutzen.
Es gibt außerdem Software, die die Integrität, die Authentizität und das Veröffentlichungsdatum aller Images in ausgewählten Registrys überprüfen kann.
Es mag praktisch erscheinen, Entwicklern Administratorzugriff zu gewähren, damit sie ihre Aufgaben schnell durchführen können. Dies ist jedoch einer der schnellsten Wege, Ihren Container und möglicherweise die gesamte AWS-Umgebung zu gefährden. Indem Sie den Zugriff auf Services kontrollieren und die Berechtigungsstufe für einzelne Aufgaben beschränken, können Sie die Wahrscheinlichkeit bösartiger Angriffe durch Insider deutlich reduzieren.
Es ist wichtig, Zugriffsrechte und Berechtigungen individuell anzupassen, wenn sich die Aufgaben von Mitarbeitern ändern oder Mitarbeiter das Unternehmen verlassen.
Zu den Geheimnissen gehören alle Komponenten, für die der Zugriff engmaschig kontrolliert werden sollte, etwa Passwörter, Zertifikate oder API-Schlüssel. Geheimnisse sind für IT-Operations-Teams und Entwickler bestimmt. Mit ihrer Hilfe können diese Anwendungen entwickeln und ausführen, die sensible Daten schützen und einen Zugriff nur dann zulassen, wenn sie für die Ausführung des richtigen Containers benötigt werden.
Geheimnisse können Sie über den AWS Secrets Manager oder eine Identity-and- Access-Management-Richtlinie (IAM-Richtlinie) speichern, um zu gewährleisten, dass nur berechtigte Anwender Zugriff erhalten. Diese können auch von externen Anbietern gemanagt werden, die sich um die Verwaltung von Geheimnissen kümmern.
Letztendlich ist die Verantwortung des Kunden für die Sicherheit von AWS Containern nur so stark wie die Schritte, die zu ihrer Durchsetzung unternommen werden. Wenn Unternehmen in jeder Phase des Container-Lebenszyklus auf Best Practices für Sicherheit bauen, können sie sich darauf verlassen, dass alle vertraulichen und sensiblen Anwendungsdaten in der Cloud sicher sind.
Weiterführende Forschung
Weiterführende Artikel