Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas de cifrado para Amazon ECS
Amazon Elastic Container Service (Amazon ECS) es un servicio de administración de contenedores escalable y rápido que ayuda a ejecutar, detener y administrar contenedores en un clúster.
Con Amazon ECS, puede cifrar los datos en tránsito mediante cualquiera de los siguientes enfoques:
-
Cree una malla de servicios. Utilice AWS App Mesh y configure las conexiones TLS entre los proxies de Envoy implementados y los puntos de enlace de malla, como nodos virtuales o puertas de enlace virtuales. Puede utilizar certificados TLS de o certificados proporcionados por el cliente. AWS Private Certificate Authority Para obtener más información y tutoriales, consulte Habilitar el cifrado del tráfico entre servicios al AWS App Mesh utilizar certificados AWS Certificate Manager (ACM) o proporcionados por el cliente (entrada del blog)
.AWS -
Si es compatible, utilice Nitro Enclaves.AWS AWS Nitro Enclaves es una EC2 función de Amazon que permite crear entornos de ejecución aislados, denominados enclaves, a partir de instancias de Amazon. EC2 Se han diseñado para ayudar a proteger sus datos más confidenciales. Además, ACM for Nitro Enclaves le permite usar SSL/TLS certificados públicos y privados con sus aplicaciones web y servidores web que se ejecutan en EC2 instancias de Amazon con AWS Nitro Enclaves. Para obtener más información, consulte AWS Nitro Enclaves: EC2 entornos aislados para procesar
datos confidenciales (entrada del blog).AWS -
Utilice el protocolo de indicación de nombres de servidor (SNI) con los balanceadores de carga de aplicaciones. Puede implementar varias aplicaciones detrás de un único agente de escucha HTTPS para un Application Load Balancer. Cada oyente cuenta con su propio certificado TLS. Puede utilizar los certificados proporcionados por ACM o los certificados autofirmados. Tanto el equilibrador de carga de aplicación y el equilibrador de carga de red son compatibles con SNI. Para obtener más información, consulte Application Load Balancers Now Support Multiple TLS Certificates with Smart Selection Using SNI
(AWS entrada del blog). -
Para mejorar la seguridad y la flexibilidad, AWS Private Certificate Authority utilícelo para implementar un certificado TLS con la tarea Amazon ECS. Para obtener más información, consulte Mantener el TLS hasta el contenedor, parte 2: Uso AWS Private CA
(entrada del AWS blog). -
Implemente el TLS mutuo (mTLS) en App Mesh mediante el servicio de descubrimiento secreto
(Envoy) o certificados alojados en ACM (). GitHub
Tenga en cuenta las siguientes prácticas recomendadas de cifrado para este servicio:
-
Siempre que sea técnicamente posible, para mejorar la seguridad, configure Puntos de conexión de VPC de interfaz de Amazon ECS en AWS PrivateLink. Al acceder a estos puntos de conexión a través de una conexión de VPN, se cifran los datos en tránsito.
-
Almacene de forma segura los materiales confidenciales, como las claves de API o las credenciales de las bases de datos. Puede almacenarlos como parámetros cifrados en el Almacén de parámetros, una función de AWS Systems Manager. Sin embargo, te recomendamos que lo utilices AWS Secrets Manager porque este servicio te permite rotar automáticamente los secretos, generar secretos aleatorios y compartirlos entre sí. Cuentas de AWS
-
Si los usuarios o las aplicaciones de su centro de datos o un tercero externo en la web realizan solicitudes directas a la API HTTPS Servicios de AWS, firme esas solicitudes con las credenciales de seguridad temporales obtenidas de AWS Security Token Service (AWS STS).
