Sécurité de l'exécution - Amazon Elastic Container Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'exécution

La sécurité d'exécution fournit une protection active à vos conteneurs lorsqu'ils sont en cours d'exécution. L'idée est de détecter et d'empêcher les activités malveillantes de se produire sur vos conteneurs. La configuration de sécurité d'exécution diffère entre les conteneurs Windows et Linux.

Pour sécuriser un conteneur Microsoft Windows, veuillez consulter Sécuriser les conteneurs Windows.

Pour sécuriser un conteneur Linux, vous pouvez ajouter ou supprimer des fonctionnalités du noyau Linux à l'linuxParametersaide de SELinux labels ou d'un AppArmor profil utilisant les dockerSecurityOptions deux par conteneur dans une définition de tâche. SELinux ou AppArmor doivent être configurés sur l'instance de conteneur avant de pouvoir être utilisés. SELinux et ne AppArmor sont pas disponibles dans. AWS Fargate Pour plus d'informations, veuillez consulter dockerSecurityOptions dans la Référence d'API Amazon Elastic Container Service et Configuration de sécurité dans la référence Docker run (langue française non garantie).

AppArmor est un module de sécurité Linux qui restreint les capacités d'un conteneur, notamment l'accès à certaines parties du système de fichiers. Il peut être exécuté en mode enforcement ou complain. Comme la création de AppArmor profils peut être difficile, nous vous recommandons d'utiliser un outil tel que Bane. Pour plus d'informations AppArmor, consultez la AppArmorpage officielle.

Important

AppArmor n'est disponible que pour les distributions Ubuntu et Debian de Linux.

Recommandations

Nous vous recommandons d'effectuer les opérations suivantes lorsque vous configurez la sécurité de votre environnement d'exécution.

Utilisez une solution tierce pour la défense de l'exécution

Utilisez une solution tierce pour la défense de l'exécution. Si vous connaissez le fonctionnement de la sécurité Linux, créez et gérez AppArmor des profils. Il s'agit de projets open source. Dans le cas contraire, pensez plutôt à utiliser un autre service tiers. La plupart ont recours au machine learning pour bloquer ou signaler toute activité suspecte. Pour obtenir la liste des solutions tierces disponibles, veuillez consulter AWS Marketplace pour conteneurs (langue française non garantie).