Bonnes pratiques de chiffrement pour Amazon ECS

Amazon Elastic Container Service (Amazon ECS) est un service de gestion de conteneurs évolutif et rapide, qui facilite l'exécution, l'arrêt et la gestion de conteneurs Docker sur un cluster.

Avec Amazon ECS, vous pouvez chiffrer les données en transit en utilisant l'une des approches suivantes :

• Créez un maillage de services. À l'aide de AWS App Mesh, configurez les connexions TLS entre les proxys Envoy déployés et les points de terminaison maillés, tels que les nœuds virtuels ou les passerelles virtuelles. Vous pouvez utiliser des certificats TLS fournis par le client AWS Private Certificate Authority ou des certificats fournis par celui-ci. Pour plus d'informations et des procédures pas à pas, voir Activer le chiffrement du trafic entre les services à AWS App Mesh l'aide de certificats AWS Certificate Manager (ACM) ou fournis par le client (article de blog).AWS

• Si cette option est prise en charge, utilisez AWS Nitro Enclaves. AWS Nitro Enclaves est EC2 une fonctionnalité d'Amazon qui vous permet de créer des environnements d'exécution isolés, appelés enclaves, à partir d'instances Amazon. EC2 Ils sont conçus pour protéger vos données les plus sensibles. En outre, ACM pour Nitro Enclaves vous permet d'utiliser des SSL/TLS certificats publics et privés avec vos applications Web et vos serveurs Web exécutés sur des EC2 instances Amazon avec AWS Nitro Enclaves. Pour plus d'informations, consultez AWS Nitro Enclaves — EC2 Environnements isolés pour traiter des données confidentielles (article de AWS blog).

• Utilisez le protocole SNI (Server Name Indication) avec les équilibreurs de charge d'application. Vous pouvez déployer plusieurs applications derrière un seul écouteur HTTPS pour un Application Load Balancer. Chaque écouteur possède son propre certificat TLS. Vous pouvez utiliser des certificats fournis par ACM ou des certificats auto-signés. Application Load Balancer et Network Load Balancer prennent en charge le protocole SNI. Pour plus d'informations, voir les équilibreurs de charge d'application prennent désormais en charge plusieurs certificats TLS avec sélection intelligente à l'aide du SNI (AWS article de blog).

• Pour améliorer la sécurité et la flexibilité, AWS Private Certificate Authority utilisez-le pour déployer un certificat TLS avec la tâche Amazon ECS. Pour plus d'informations, voir Gérer le protocole TLS jusqu'à votre conteneur, partie 2 : Utilisation AWS Private CA (article de AWS blog).

• Implémentez le protocole TLS mutuel (MTL) dans App Mesh à l'aide du service de découverte secret (Envoy) ou de certificats hébergés dans ACM (). GitHub

Tenez compte des bonnes pratiques de chiffrement suivantes pour ce service :

• Lorsque cela est techniquement possible, pour renforcer la sécurité, configurez des points de terminaison d'un VPC de l'interface Amazon ECS dans AWS PrivateLink. L'accès à ces points de terminaison sur une connexion VPN chiffre les données en transit.

• Stockez le matériel sensible, tels que les clés d'API ou les informations d'identification de base de données, en toute sécurité. Vous pouvez les stocker sous forme de paramètres chiffrés dans Parameter Store, une fonctionnalité d' AWS Systems Manager. Cependant, nous vous recommandons de l'utiliser AWS Secrets Manager car ce service vous permet de faire pivoter automatiquement les secrets, de générer des secrets aléatoires et de partager des secrets entre eux Comptes AWS.

• Si des utilisateurs ou des applications de votre centre de données ou d'un tiers externe sur le Web envoient des demandes d'API HTTPS directes à Services AWS, signez ces demandes à l'aide des informations de sécurité temporaires obtenues auprès de AWS Security Token Service (AWS STS).