La sécurité des conteneurs AWS est une responsabilité partagée entre AWS et le client. La responsabilité du client requiert une approche complète des contrôles d'admission, de la gestion des vulnérabilités et de la protection de l’exécution.
Amazon Web Services (AWS) est un fournisseur de services cloud qui offre des fonctionnalités de stockage, de puissance de calcul, de livraison de contenu, etc. à des organisations de toutes les formes et tailles. Amazon Web Services est conçu pour offrir une conception et un déploiement rapides des applications, en plus de l'évolutivité et de la fiabilité qui font la réputation d’Amazon. Ses produits vont du traitement analytique et du stockage au blockchain, en passant par les conteneurs.
Les conteneurs sur AWS sont extrêmement populaires, car ils fournissent un moyen simple de regrouper, d’expédier et d’exécuter des applications. La sécurité joue un rôle essentiel dans la réussite d’une stratégie de conteneur sur AWS.
AWS est responsable de la sécurité du cloud, y compris l'infrastructure de conteneurs. Pour la sécurité dans le cloud, chaque organisation doit mettre en place les protections appropriées du contenu de ses conteneurs, données et configuration de service globale. Le modèle de responsabilité partagée d'Amazon indique clairement où s'arrêtent ses responsabilités et où commence celle de l'entreprise, en précisant les services supplémentaires qui pourraient être nécessaires pour assurer la conformité et la sécurité.
Voici quelques facteurs à prendre en compte lorsque vous sécurisez vos conteneurs sur AWS :
Il est essentiel de protéger votre système d’exploitation d'hôte de conteneur pour protéger vos conteneurs sur AWS. Plusieurs conteneurs partagent souvent le même hôte ; une faille dans ce dernier peut donc fournir un accès à tous ses conteneurs, voire à ceux de votre environnement.
Lorsque vous choisissez vos hôtes, vous devez y appliquer des contrôles d'accès et ajouter vos outils de sécurité et de surveillance continue. Ainsi, vos hôtes s’exécuteront exactement comme vous l’entendez et aucune vulnérabilité n’aura été introduite post-déploiement.
Il est essentiel d'analyser régulièrement les images, afin de n'autoriser que les images approuvées pendant la phase de création et que les images conformes pour la production. Les images mal configurées comptent parmi les moyens les plus faciles pour les attaquants d'accéder au réseau. AWS encourage les clients à utiliser des solutions de partenaires pour l’analyse d’image de conteneur.
Il existe également des logiciels qui peuvent vérifier l’intégrité, l’authenticité et la date de publication de toutes les images disponibles sur certains registres.
Il peut sembler pratique de donner aux développeurs des droits d'administrateur pour une exécution rapide des tâches. C'est l'un des moyens les plus rapides de compromettre votre conteneur et potentiellement l'ensemble de l'environnement AWS. En contrôlant l’accès aux services et en limitant le niveau des autorisations accordées pour chaque tâche, vous pouvez fortement réduire la probabilité d'une attaque malveillante de l’intérieur.
Il est important de penser à ajuster l'accès et les privilèges individuels au fur et à mesure que les rôles des employés changent dans l’entreprise ou sont supprimés.
Les secrets sont des mots de passe, des certificats, des clés API ou tout autre élément dont vous souhaitez contrôler étroitement l'accès. Ils sont conçus pour les équipes d'opérations IT et les développeurs, afin de leur permettre de mieux créer et exécuter des applications plus sûres qui assurent la confidentialité des informations sensibles, et ne sont accessibles que lorsque cela est nécessaire pour permettre au conteneur concerné de fonctionner.
Les secrets peuvent être stockés en toute sécurité via AWS Secrets Manager ou une politique IAM (Identity and Access Management) pour veiller à ce que seuls les utilisateurs approuvés aient un accès. Ils peuvent également être administrés par des fournisseurs de gestion des secrets tiers.
Au final, la responsabilité du client pour la sécurité des conteneurs AWS est définie par les étapes correspondantes. En intégrant intentionnellement des bonnes pratiques de sécurité à chaque phase du cycle de vie de conteneur, les entreprises ont l’assurance que toutes les données d’application confidentielles et sensibles dans le cloud sont sécurisées.
Recherches associées
Articles associés