Bewährte Methoden zur Verschlüsselung für Amazon ECS

Amazon Elastic Container Service (Amazon ECS) ist ein hoch skalierbarer, schneller Container-Management-Service, der das Ausführen, Beenden und Verwalten von Containern in einem Cluster vereinfacht.

Mit Amazon ECS können Sie Daten während der Übertragung verschlüsseln, indem Sie einen der folgenden Ansätze verwenden:

• Erstellen eines Service Meshs Konfigurieren Sie mithilfe von AWS App Mesh TLS-Verbindungen zwischen den bereitgestellten Envoy-Proxys und Mesh-Endpunkten, z. B. virtuellen Knoten oder virtuellen Gateways. Sie können TLS-Zertifikate von oder vom Kunden bereitgestellte Zertifikate verwenden. AWS Private Certificate Authority Weitere Informationen und exemplarische Vorgehensweisen finden Sie unter Aktivieren der Datenverkehrsverschlüsselung zwischen AWS App Mesh verwendeten Diensten AWS Certificate Manager (ACM) oder vom Kunden bereitgestellten Zertifikaten (Blogbeitrag).AWS

• Falls unterstützt, verwenden Sie Nitro Enclaves.AWS AWS Nitro Enclaves ist eine EC2 Amazon-Funktion, mit der Sie isolierte Ausführungsumgebungen, sogenannte Enklaven, aus Amazon-Instances erstellen können. EC2 Es wurde entwickelt, um Ihre sensibelsten Daten zu schützen. Darüber hinaus können Sie mit ACM for Nitro Enclaves öffentliche und private SSL/TLS-Zertifikate für Ihre Webanwendungen und Webserver verwenden, die auf Amazon-Instances mit Nitro Enclaves ausgeführt werden. EC2 AWS Weitere Informationen finden Sie unter AWS Nitro Enclaves — Isolierte Umgebungen zur Verarbeitung vertraulicher Daten (Blogbeitrag). EC2 AWS

• Verwenden Sie das Server Name Indication (SNI) -Protokoll mit Application Load Balancers. Sie können mehrere Anwendungen hinter einem einzigen HTTPS-Listener für einen Application Load Balancer bereitstellen. Jeder Listener hat sein eigenes TLS-Zertifikat. Sie können von ACM bereitgestellte Zertifikate oder eigensignierte Zertifikate verwenden. Application Load Balancer und Network Load Balancer unterstützen beide SNI. Weitere Informationen finden Sie unter Application Load Balancers Support jetzt mehrere TLS-Zertifikate mit Smart Selection Using SNI (AWS Blogbeitrag).

• Verwenden Sie für mehr Sicherheit und Flexibilität, AWS Private Certificate Authority um ein TLS-Zertifikat mit der Amazon ECS-Task bereitzustellen. Weitere Informationen finden Sie unter Wartung von TLS bis zu Ihrem Container, Teil 2: Verwenden AWS Private CA (AWS Blogbeitrag).

• Implementieren Sie Mutual TLS (mTLS) in App Mesh, indem Sie den Secret Discovery Service (Envoy) oder in ACM () gehostete Zertifikate verwenden. GitHub

Bedenken Sie die folgenden bewährten Verschlüsselungsmethoden für diesen Service:

• Sofern technisch machbar, konfigurieren Sie zur Erhöhung der Sicherheit VPC-Endpunkte der Amazon-ECS-Schnittstelle in AWS PrivateLink. Durch den Zugriff auf diese Endpunkte über eine VPN-Verbindung werden Daten während der Übertragung verschlüsselt.

• Speichern Sie vertrauliche Materialien wie API-Schlüssel oder Datenbank-Anmeldeinformationen sicher. Sie können diese als verschlüsselte Parameter im Parameter Store speichern, einer Funktion von AWS Systems Manager. Wir empfehlen Ihnen jedoch, diesen Dienst zu verwenden, AWS Secrets Manager da Sie mit diesem Dienst Geheimnisse automatisch rotieren, zufällige Geheimnisse generieren und Geheimnisse gemeinsam nutzen können. AWS-Konten

• Um das Risiko von Datenlecks durch Umgebungsvariablen zu verringern, empfehlen wir Ihnen, den AWS Secrets Manager and Config Provider for Secret Store CSI Driver (GitHub) zu verwenden. Mit diesem Treiber können Sie festlegen, dass im Secrets Manager gespeicherte Geheimnisse und im Parameter Store gespeicherte Parameter als in Kubernetes-Pods gemountete Dateien angezeigt werden.

  Anmerkung

  AWS Fargate wird nicht unterstützt.

• Wenn Benutzer oder Anwendungen in Ihrem Rechenzentrum oder ein externer Drittanbieter im Internet direkte HTTPS-API-Anfragen an stellen AWS-Services, signieren Sie diese Anfragen mit temporären Sicherheitsanmeldedaten, die Sie von AWS Security Token Service (AWS STS) erhalten haben.