Runtime-Sicherheit - Amazon Elastic Container Service
Recommendations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Runtime-Sicherheit

Laufzeitsicherheit bietet aktiven Schutz für Ihre Container während des Betriebs. Die Idee besteht darin, bösartige Aktivitäten in Ihren Containern zu erkennen und zu verhindern.

Mit sicherem Computing (seccomp) können Sie verhindern, dass eine containerisierte Anwendung bestimmte Syscalls für den Kernel des zugrunde liegenden Hostbetriebssystems erstellt. Während das Linux-Betriebssystem einige hundert Systemaufrufe hat, sind die meisten von ihnen für das Ausführen von Containern nicht notwendig. Indem Sie einschränken, welche Syscalls von einem Container erstellt werden können, können Sie die Angriffsoberfläche Ihrer Anwendung effektiv verringern.

Um mit seccomp zu beginnen, können Siestrace, um einen Stack-Trace zu generieren, um zu sehen, welche Systemaufrufe Ihre Anwendung durchführt. Sie können ein Tool wiesyscall2seccomp, um ein seccomp-Profil aus den Daten zu erstellen, die aus dem Stack-Trace gesammelt wurden. Weitere Informationen finden Sie unterstraceundsyscall2seccomp.

Im Gegensatz zum SELinux Sicherheitsmodul kann seccomp Container nicht voneinander isolieren. Es schützt jedoch den Host-Kernel vor nicht autorisierten Syscalls. Es funktioniert, indem Syscalls abgefangen werden und nur diejenigen zulassen, die bereits aufgelistet wurden, durchlaufen. Docker verfügt über eindefaultseccomp-Profil, das für die Mehrheit der allgemeinen Arbeitslasten geeignet ist.

Anmerkung

Für Dinge, die zusätzliche Berechtigungen erfordern, ist es auch möglich, eigene Profile zu erstellen.

AppArmor ist ein Linux-Sicherheitsmodul ähnlich wie seccomp, aber es schränkt die Fähigkeiten eines Containers ein, einschließlich des Zugriffs auf Teile des Dateisystems. Es kann entweder inenforcementoder .complain-Modus. Da das Erstellen von AppArmor -Profilen schwierig sein kann, empfehlen wir die Verwendung eines Tools wieFluch. Weitere Informationen zu AppArmor finden Sie im offiziellenAppArmorangezeigten.

Wichtig

AppArmor ist nur für Ubuntu- und Debian-Distributionen von Linux verfügbar.

Recommendations

Wir empfehlen, dass Sie beim Einrichten Ihrer Laufzeitsicherheit die folgenden Aktionen ausführen.

Verwenden einer Drittanbieter-Lösung für die Laufzeitverteidigung

Verwenden Sie eine Drittanbieter-Lösung für die Laufzeitverteidigung. Wenn Sie mit der Funktionsweise der Linux-Sicherheit vertraut sind, erstellen und verwalten Sie seccomp- und AppArmor Profile. Beide sind Open-Source-Projekte. Andernfalls sollten Sie stattdessen einen anderen Drittanbieterdienst verwenden. Die meisten verwenden maschinelles Lernen, um verdächtige Aktivitäten zu blockieren oder zu warnen. Eine Liste der verfügbaren Lösungen von Drittanbietern finden Sie unterAWS Marketplacefür Container.

Hinzufügen oder Entfernen von Linux-Funktionen mithilfe von Seccomp-Richtlinien

Verwenden Sie seccomp, um mehr Kontrolle über Linux-Funktionen zu haben und Syscall-Prüffehler zu vermeiden. Seccomp arbeitet als Syscall-Filter, der die Berechtigung zum Ausführen bestimmter Syscalls oder zur Verwendung bestimmter Agruments widerruft.