Praktik terbaik enkripsi untuk Amazon ECS

Amazon Elastic Container Service (Amazon ECS) adalah layanan manajemen kontainer yang cepat dan dapat diskalakan yang membantu Anda menjalankan, menghentikan, dan mengelola kontainer di klaster.

Dengan Amazon ECS, Anda dapat mengenkripsi data dalam perjalanan dengan menggunakan salah satu pendekatan berikut:

• Buat mesh layanan. Menggunakan AWS App Mesh, konfigurasikan koneksi TLS antara proxy Envoy yang dikerahkan dan titik akhir mesh, seperti node virtual atau gateway virtual. Anda dapat menggunakan sertifikat TLS dari AWS Private Certificate Authority atau sertifikat yang disediakan pelanggan. Untuk informasi dan penelusuran selengkapnya, lihat Mengaktifkan enkripsi lalu lintas antar layanan dalam AWS App Mesh penggunaan AWS Certificate Manager (ACM) atau sertifikat yang disediakan pelanggan (posting blog).AWS

• Jika didukung, gunakan AWS Nitro Enclave. AWS Nitro Enclave adalah EC2 fitur Amazon yang memungkinkan Anda membuat lingkungan eksekusi terisolasi, yang disebut kantong, dari instans Amazon. EC2 Mereka dirancang untuk membantu melindungi data Anda yang paling sensitif. Selain itu, ACM untuk Nitro Enclave memungkinkan Anda menggunakan sertifikat SSL/TLS publik dan pribadi dengan aplikasi web dan server web Anda yang berjalan di instans Amazon dengan Nitro Enclave. EC2 AWS Untuk informasi lebih lanjut, lihat Enklaf AWS Nitro - EC2 Lingkungan Terisolasi untuk Memproses Data Rahasia (AWS posting blog).

• Gunakan protokol Server Name Indication (SNI) dengan Application Load Balancers. Anda dapat menerapkan beberapa aplikasi di belakang satu pendengar HTTPS untuk Application Load Balancer. Setiap pendengar memiliki sertifikat TLS sendiri. Anda dapat sertifikat yang disediakan oleh ACM, atau Anda dapat menggunakan sertifikat yang ditandatangani sendiri. Baik Application Load Balancer maupun Network Load Balancer mendukung SNI. Untuk informasi selengkapnya, lihat Application Load Balancers Now Support Multiple TLS Certificate with Smart Selection Using SNI (AWS blog post).

• Untuk meningkatkan keamanan dan fleksibilitas, gunakan AWS Private Certificate Authority untuk menerapkan sertifikat TLS dengan tugas Amazon ECS. Untuk informasi selengkapnya, lihat Mempertahankan TLS sampai ke wadah Anda bagian 2: Menggunakan AWS Private CA (posting AWS blog).

• Terapkan TLS bersama (mTL) di App Mesh dengan menggunakan layanan penemuan Rahasia (Utusan) atau sertifikat yang dihosting di ACM (). GitHub

Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:

• Jika memungkinkan secara teknis, untuk keamanan yang ditingkatkan, konfigurasikan titik akhir VPC antarmuka Amazon ECS di. AWS PrivateLink Mengakses titik akhir ini melalui koneksi VPN mengenkripsi data dalam perjalanan.

• Simpan materi sensitif, seperti kunci API atau kredensyal basis data, dengan aman. Anda dapat menyimpan ini sebagai parameter terenkripsi di Parameter Store, kemampuan. AWS Systems Manager Namun, kami sarankan Anda menggunakannya AWS Secrets Manager karena layanan ini memungkinkan Anda untuk secara otomatis memutar rahasia, menghasilkan rahasia acak, dan berbagi rahasia Akun AWS.

• Untuk membantu mengurangi risiko kebocoran data dari variabel lingkungan, kami sarankan Anda menggunakan dan AWS Secrets Manager Config Provider for Secret Store CSI Driver (). GitHub Driver ini memungkinkan Anda untuk membuat rahasia yang disimpan di Secrets Manager dan parameter yang disimpan di Parameter Store muncul sebagai file yang dipasang di pod Kubernetes.

  catatan

  AWS Fargate tidak didukung.

• Jika pengguna atau aplikasi di pusat data Anda atau pihak ketiga eksternal di web membuat permintaan HTTPS API langsung Layanan AWS, tandatangani permintaan tersebut dengan kredensyal keamanan sementara yang diperoleh dari AWS Security Token Service ()AWS STS.