Bezpieczeństwo kontenerów w środowisku AWS to wspólna odpowiedzialność AWS i klienta. Odpowiedzialność klienta wymaga kompleksowego zarządzania dostępem, lukami w zabezpieczeniach i bezpieczeństwem środowiska wykonywania.
Amazon Web Services (AWS) to dostawca usług chmurowych udostępniający przestrzeń do przechowywana danych, moc obliczeniową, narzędzia dostarczania treści oraz inne funkcje organizacjom każdego rodzaju i rozmiaru. Amazon Web Services umożliwia szybkie projektowanie i wdrażanie aplikacji charakteryzujących się skalowalnością i niezawodnością, z których słynie Amazon. Składa się ona z różnych elementów – od funkcji analitycznych, przez pamięć masową, po „blockchain” i kontenery.
Kontenery w AWS są bardzo chętnie używane, ponieważ zapewniają prosty sposób pakowania, wysyłania i uruchamiania aplikacji. Podstawą sukcesu strategii kontenerów na platformie AWS jest bezpieczeństwo.
AWS odpowiada za bezpieczeństwo chmury , w tym także infrastruktury kontenerowej. Natomiast odpowiednia konfiguracja zabezpieczeń jej zawartości – kontenerów, danych i ogólnej pracy usługi – należy do obowiązków organizacji. Podejście Shared Responsibility Model stosowane przez firmę Amazon wyraźnie wyznacza granice jej odpowiedzialności, informując o dodatkowych usługach, które mogą być potrzebne do zapewnienia zgodności z przepisami i odpowiedniego poziomu bezpieczeństwa.
Oto niektóre elementy, o których należy pamiętać przy zabezpieczaniu kontenerów na platformie AWS:
Ochrona systemu operacyjnego hosta kontenera jest kluczowa dla ochrony kontenerów na platformie AWS. Ponieważ na jednym hoście znajduje się wiele kontenerów, włamanie do niego może umożliwić dostęp do wszystkich kontenerów, które się na nim znajdują, a nawet do całego środowiska.
Kiedy wybierzesz hosta, musisz zabezpieczyć dostęp do niego oraz dodać narzędzia monitorowania bezpieczeństwa i pracy. W ten sposób zapewnisz prawidłowe działanie hostów oraz unikniesz pojawienia się luk po wdrożeniu.
Zalecane jest regularne skanowanie i analizowanie obrazów, tworzenie kompilacji tylko z użyciem zatwierdzonych obrazów and wysyłanie do produkcji wyłącznie obrazów zgodnych z określonymi wymaganiami. Nieprawidłowo skonfigurowane obrazy są jednymi z najłatwiejszych celów cyberataków pozwalających uzyskać dostęp do sieci. AWS zachęca klientów do korzystania z rozwiązań partnerów w zakresie skanowania obrazów kontenerów.
Dostępne jest również specjalne oprogramowanie do weryfikacji integralności i daty publikacji wszystkich obrazów w wybranych rejestrach.
Czasami kuszące jest przydzielenie programistom uprawnień administracyjnych, aby ułatwić im szybkie wykonywanie zadań. To jednak najszybsza droga do infekcji kontenera i ewentualnie całego środowiska AWS. Kontrolując dostęp do usług i ograniczając liczbę uprawnień przy realizacji poszczególnych prac, można istotnie zmniejszyć ryzyko przeprowadzenia złośliwego ataku od wewnątrz.
Należy pamiętać o regularnym weryfikowaniu dostępu i uprawnień użytkowników zmieniających stanowiska wewnątrz organizacji lub odchodzących z niej.
Klucze tajne to wszelkie dane wymagające ścisłej kontroli dostępu, takie jak hasła, certyfikaty czy klucze do API. Są przeznaczone dla zespołów operacyjnych IT i deweloperów, umożliwiając im tworzenie i uruchamianie bezpieczniejszych aplikacji, w których dane poufne nie są ujawniane i są dostępne tylko wtedy, gdy konkretny kontener potrzebuje ich, aby działać.
Klucze tajne mogą być bezpiecznie przechowywane przy użyciu narzędzia AWS Secrets Manager albo zgodnie z regułą Identity and Access Management (IAM), dzięki czemu dostęp do nich mają tylko uprawnieni użytkownicy. Mogą one również być zarządzane przez zewnętrznych dostawców usług.
Ostatecznie bezpieczeństwo kontenera AWS leżące w gestii klienta zależy od bezpieczeństwa poszczególnych procedur ochrony. Bezpieczeństwo wszystkich poufnych i tajnych danych aplikacji w chmurze można zapewnić tylko poprzez celowe stosowanie sprawdzonych metod na wszystkich etapach cyklu życia kontenera.
Powiązane badania
Powiązane artykuły