Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik enkripsi untuk Amazon ECS
Amazon Elastic Container Service (AmazonECS) adalah layanan manajemen kontainer yang cepat dan dapat diskalakan yang membantu Anda menjalankan, menghentikan, dan mengelola kontainer di klaster.
Dengan AmazonECS, Anda dapat mengenkripsi data dalam perjalanan dengan menggunakan salah satu pendekatan berikut:
-
Buat mesh layanan. Menggunakan AWS App Mesh, mengkonfigurasi TLS koneksi antara proxy Envoy yang digunakan dan titik akhir mesh, seperti node virtual atau gateway virtual. Anda dapat menggunakan TLS sertifikat dari AWS Private Certificate Authority atau sertifikat yang disediakan pelanggan. Untuk informasi dan penelusuran selengkapnya, lihat Mengaktifkan enkripsi lalu lintas antar layanan dalam AWS App Mesh menggunakan AWS Certificate Manager (ACM) atau sertifikat yang disediakan pelanggan
(posting blog).AWS -
Jika didukung, gunakan AWS Nitro Enclave. AWS Nitro Enclave adalah EC2 fitur Amazon yang memungkinkan Anda membuat lingkungan eksekusi terisolasi, yang disebut kantong, dari instans Amazon. EC2 Mereka dirancang untuk membantu melindungi data Anda yang paling sensitif. Selain itu, ACMuntuk Nitro Enclave memungkinkan Anda menggunakan TLS sertifikat SSL publik/privat dengan aplikasi web dan server web Anda yang berjalan di EC2 instans Amazon dengan Nitro Enclave. AWS Untuk informasi lebih lanjut, lihat Enklaf AWS Nitro - EC2 Lingkungan Terisolasi untuk Memproses Data Rahasia
(AWS posting blog). -
Gunakan protokol Server Name Indication (SNI) dengan Application Load Balancers. Anda dapat menerapkan beberapa aplikasi di belakang satu HTTPS pendengar untuk Application Load Balancer. Setiap pendengar memiliki TLS sertifikat sendiri. Anda dapat sertifikat yang disediakan olehACM, atau Anda dapat menggunakan sertifikat yang ditandatangani sendiri. Baik Application Load Balancer maupun Network Load Balancer mendukung. SNI Untuk informasi selengkapnya, lihat Application Load Balancers Now Support Multiple TLS Certificates with Smart Selection Using SNI
(posting AWS blog). -
Untuk meningkatkan keamanan dan fleksibilitas, gunakan AWS Private Certificate Authority untuk menyebarkan TLS sertifikat dengan ECS tugas Amazon. Untuk informasi selengkapnya, lihat Mempertahankan TLS semua jalan ke penampung Anda bagian 2: Menggunakan AWS Private CA
(posting AWS blog). -
Terapkan mutual TLS (m TLS) di App Mesh dengan menggunakan layanan penemuan Rahasia
(Utusan) atau sertifikat yang dihosting di ACM (GitHub).
Pertimbangkan praktik terbaik enkripsi berikut untuk layanan ini:
-
Jika memungkinkan secara teknis, untuk keamanan yang ditingkatkan, konfigurasikan titik VPCakhir ECS antarmuka Amazon di. AWS PrivateLink Mengakses titik akhir ini melalui VPN koneksi mengenkripsi data dalam perjalanan.
-
Simpan materi sensitif, seperti API kunci atau kredensil basis data, dengan aman. Anda dapat menyimpan ini sebagai parameter terenkripsi di Parameter Store, kemampuan. AWS Systems Manager Namun, kami sarankan Anda menggunakannya AWS Secrets Manager karena layanan ini memungkinkan Anda untuk secara otomatis memutar rahasia, menghasilkan rahasia acak, dan berbagi rahasia Akun AWS.
-
Untuk membantu mengurangi risiko kebocoran data dari variabel lingkungan, kami sarankan Anda menggunakan dan AWS Secrets Manager Config Provider for Secret
Store Driver (). CSI GitHub Driver ini memungkinkan Anda untuk membuat rahasia yang disimpan di Secrets Manager dan parameter yang disimpan di Parameter Store muncul sebagai file yang dipasang di pod Kubernetes. catatan
AWS Fargate tidak didukung.
-
Jika pengguna atau aplikasi di pusat data Anda atau pihak ketiga eksternal di web membuat HTTPS API permintaan langsung Layanan AWS, tandatangani permintaan tersebut dengan kredensil keamanan sementara yang diperoleh dari AWS Security Token Service ()AWS STS.