Correzione delle esposizioni per i servizi Amazon ECS - AWS Security Hub
Caratteristiche di configurazione errate per i servizi Amazon ECSCaratteristiche di vulnerabilità per i servizi Amazon ECS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Correzione delle esposizioni per i servizi Amazon ECS

AWS Security Hub può generare risultati sull'esposizione per i servizi Amazon Elastic Container Service (Amazon ECS).

Il servizio Amazon ECS coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione Risorse dei dettagli del risultato. È possibile recuperare questi dettagli delle risorse sulla console di Security Hub o a livello di codice con il GetFindingsV2funzionamento dell'API Security Hub.

Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.

Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.

Nota

Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS

Caratteristiche di configurazione errate per i servizi Amazon ECS

Di seguito sono riportate le caratteristiche di errata configurazione dei servizi Amazon ECS e le procedure di correzione suggerite.

Il servizio Amazon ECS utilizza una definizione di attività configurata con privilegi elevati.

I container Amazon ECS in esecuzione con privilegi elevati hanno funzionalità simili a quelle del sistema host, consentendo potenzialmente l'accesso alle risorse dell'host e ad altri contenitori. Questa configurazione aumenta il rischio che un container compromesso possa essere utilizzato per accedere o modificare risorse al di fuori dell'ambito previsto, con possibile fuga dal container, accesso non autorizzato all'host sottostante e violazioni che interessano altri contenitori sullo stesso host. In base ai principi di sicurezza standard, si AWS consiglia di concedere i privilegi minimi, il che significa che si concedono solo le autorizzazioni necessarie per eseguire un'attività.

Rivedi e modifica la definizione dell'attività

Nell'esposizione, identificare l'ARN della definizione dell'attività. Apri la definizione dell'attività nella console Amazon ECS. Nella definizione dell'attività, cerca il flag privilegiato impostato su true nelle definizioni del contenitore. Se la modalità privilegiata non è richiesta, crea una nuova revisione della definizione dell'attività senza il flag privilegiato. Se è richiesta la modalità privilegiata, prendete in considerazione la possibilità di configurare il contenitore per utilizzare un file system di sola lettura per impedire modifiche non autorizzate.

Il servizio Amazon ECS dispone di un contenitore che può assumere un ruolo IAM

I ruoli IAM consentono alle attività di Amazon ECS di accedere in modo sicuro ad altri AWS servizi utilizzando credenziali temporanee. I ruoli di esecuzione delle attività possono essere necessari per le attività di Amazon ECS in cui il contenitore deve interagire con altre AWS risorse. Sebbene ciò sia talvolta necessario per la funzionalità dei container, ruoli configurati in modo errato possono concedere privilegi eccessivi che possono essere sfruttati dagli aggressori se un container viene compromesso, permettendo potenzialmente l'accesso non autorizzato alle AWS risorse, il furto di dati o la modifica non autorizzata dell'infrastruttura. Seguendo i principi di sicurezza standard, AWS consiglia di implementare l'accesso con privilegi minimi e di rivedere i ruoli IAM associati alle attività di Amazon ECS.

Rivedi i ruoli allegati

Vai alla dashboard IAM e seleziona il ruolo identificato. Rivedi la politica di autorizzazione allegata al ruolo IAM. Se l'attività richiede l'interazione con altri AWS servizi, mantieni il ruolo di esecuzione dell'attività e valuta la possibilità di applicare le autorizzazioni con privilegi minimi. Altrimenti, crea una nuova revisione della definizione dell'attività senza il ruolo di esecuzione.

Il servizio Amazon ECS utilizza una definizione di attività che consente ai contenitori di accedere ai file system root.

I contenitori Amazon ECS con accesso al filesystem root dell'host possono potenzialmente leggere, modificare o eseguire file critici sul sistema host. Questa configurazione aumenta il rischio che un contenitore compromesso possa essere utilizzato per accedere o modificare risorse al di fuori dell'ambito previsto, esponendo potenzialmente dati sensibili sul file system host. Seguendo i principi di sicurezza standard, si AWS consiglia di concedere i privilegi minimi, il che significa che si concedono solo le autorizzazioni necessarie per eseguire un'attività.

Rivedi e modifica i contenitori con accesso al file system host

Nella rilevazione dell'esposizione, identificare l'ARN della definizione dell'attività. Apri la definizione dell'attività nella console Amazon ECS. Cerca la sezione dei volumi nella definizione dell'attività che definisce le mappature dei percorsi degli host. Esamina la definizione del task per determinare se l'accesso al file system host è necessario per la funzionalità del contenitore. s Se l'accesso al file system host non è richiesto, crea una nuova revisione della definizione del task e rimuovi tutte le definizioni di volume che utilizzano percorsi host. Se è richiesto l'accesso al file system host, valuta la possibilità di configurare il contenitore per utilizzare un file system di sola lettura per impedire modifiche non autorizzate.

Il servizio Amazon ECS utilizza una definizione di attività configurata per condividere lo spazio dei nomi di processo di un host.

I contenitori Amazon ECS in esecuzione con namespace esposti possono potenzialmente accedere alle risorse del sistema host e ad altri namespace di container. Questa configurazione potrebbe consentire a un contenitore compromesso di superare il limite di isolamento, il che potrebbe portare all'accesso a processi, interfacce di rete o altre risorse al di fuori dell'ambito previsto. Uno spazio dei nomi PID (Process ID) fornisce la separazione tra i processi. Impedisce la visibilità dei processi di sistema e ne consente PIDs il riutilizzo, incluso il PID 1. Se lo spazio dei nomi PID dell'host è condiviso con i contenitori, consentirebbe ai contenitori di visualizzare tutti i processi sul sistema host. Ciò riduce i vantaggi dell'isolamento a livello di processo tra l'host e i contenitori. Questi fattori potrebbero portare all'accesso non autorizzato ai processi sull'host stesso, inclusa la possibilità di manipolarli e terminarli. Seguendo i principi di sicurezza standard, AWS consiglia di mantenere un adeguato isolamento dello spazio dei nomi per i contenitori.

Aggiorna le definizioni delle attività con namespace esposti

Apri la scheda Risorse dell'esposizione, identifica la definizione dell'attività con lo spazio dei nomi esposto. Apri la definizione dell'attività nella console Amazon ECS. Cerca le impostazioni PIDMode con il valore host, che condividerebbe i namespace degli ID del processo con l'host. Rimuovi le impostazioni di PidMode: host dalle definizioni delle attività per garantire che i contenitori funzionino con il corretto isolamento dello spazio dei nomi.

Il servizio Amazon ECS utilizza una definizione di attività configurata con credenziali in chiaro nelle variabili di ambiente.

I contenitori Amazon ECS con credenziali in chiaro nelle variabili di ambiente espongono informazioni di autenticazione sensibili che potrebbero essere compromesse se un utente malintenzionato accede alla definizione dell'attività, all'ambiente del contenitore o ai log del contenitore. Ciò crea un rischio significativo per la sicurezza, poiché le credenziali trapelate potrebbero essere utilizzate per accedere ad altri servizi o risorse. AWS

Sostituisci le credenziali in chiaro

Nel rilevamento dell'esposizione, identificate la definizione dell'attività con credenziali in chiaro. Apri la definizione dell'attività nella console Amazon ECS. Cerca le variabili di ambiente nella definizione del contenitore che contengono valori sensibili come chiavi di AWS accesso, password del database o token API.

Considerate le seguenti alternative per passare le credenziali:

  • Invece di utilizzare le chiavi di AWS accesso, utilizza i ruoli di esecuzione delle attività e i ruoli di attività IAM per concedere le autorizzazioni ai contenitori.

  • Archivia le credenziali come AWS segreti in Secrets Manager e fai riferimento ad esse nella definizione dell'attività.

Aggiornare le definizioni dell'attività

Crea una nuova revisione della definizione dell'attività che gestisca in modo sicuro le credenziali. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.

Il servizio Amazon ECS ha un gruppo di sicurezza aperto

I gruppi di sicurezza fungono da firewall virtuali per le attività di Amazon ECS volte a controllare il traffico in entrata e in uscita. I gruppi di sicurezza aperti, che consentono l'accesso illimitato da qualsiasi indirizzo IP, possono esporre i contenitori ad accessi non autorizzati, aumentando il rischio di esposizione a strumenti di scansione automatizzati e attacchi mirati. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso dei gruppi di sicurezza a indirizzi IP e porte specifici.

Rivedi le regole del gruppo di sicurezza e valuta la configurazione corrente

Apri la risorsa per Amazon ECS Security Group. Valuta quali porte sono aperte e accessibili da ampi intervalli IP, ad esempio(0.0.0.0/0 or ::/0).

Modifica le regole del gruppo di sicurezza

Modifica le regole del gruppo di sicurezza per limitare l'accesso a intervalli o indirizzi IP affidabili specifici. Quando aggiorni le regole del gruppo di sicurezza, prendi in considerazione la possibilità di separare i requisiti di accesso per i diversi segmenti di rete creando regole per ogni intervallo IP di origine richiesto o limitando l'accesso a porte specifiche.

Modifica le regole dei gruppi di sicurezza

Considerate le seguenti opzioni per metodi di accesso alternativi:

  • Session Manager fornisce un accesso sicuro alla shell alle tue EC2 istanze Amazon senza la necessità di porte in entrata, gestione di chiavi SSH o manutenzione di host bastion.

  • NACLs forniscono un ulteriore livello di sicurezza a livello di sottorete. A differenza dei gruppi di sicurezza, NACLs sono prive di stato e richiedono la definizione esplicita delle regole in entrata e in uscita.

Il servizio Amazon ECS ha un indirizzo IP pubblico

I servizi Amazon ECS con indirizzi IP pubblici assegnati alle loro attività sono accessibili direttamente da Internet. Sebbene ciò possa essere necessario per servizi che devono essere disponibili al pubblico, aumenta la superficie di attacco e il potenziale di accesso non autorizzato.

Identifica i servizi con indirizzi IP pubblici

Nel rilevamento dell'esposizione, identifica il servizio Amazon ECS a cui sono assegnati indirizzi IP pubblici alle sue attività. Cerca l'assignPublicIpimpostazione con il valore di ENABLED nella configurazione del servizio.

Aggiornare le definizioni dell'attività

Crea una nuova revisione della definizione dell'attività che disabiliti gli indirizzi IP pubblici. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.

Implementa modelli di accesso alla rete privata

Per le istanze che eseguono applicazioni Web, prendi in considerazione l'utilizzo di un Load Balancer (LB). LBs può essere configurato per consentire l'esecuzione delle istanze in sottoreti private mentre LB viene eseguito in una sottorete pubblica e gestisce il traffico Internet.

Il servizio Amazon ECS utilizza una definizione di attività configurata con la modalità di rete host abilitata.

I contenitori Amazon ECS in esecuzione con la modalità di rete host condividono lo spazio dei nomi di rete con l'host, consentendo l'accesso diretto alle interfacce di rete, alle porte e alle tabelle di routing dell'host. Questa configurazione aggira l'isolamento di rete fornito dai container, esponendo potenzialmente i servizi in esecuzione sul contenitore direttamente alle reti esterne e consentendo ai contenitori di modificare le impostazioni della rete host. Seguendo i principi di sicurezza standard, AWS consiglia di mantenere un adeguato isolamento di rete per i contenitori.

Disattiva la modalità di rete dell'host

Nel rilevamento dell'esposizione, identifica la definizione dell'attività con la modalità di rete host. Apri la definizione dell'attività nella console Amazon ECS. Cerca l'impostazione NetworkMode con il valore host nella definizione dell'attività.

Considerate le seguenti opzioni per disabilitare la modalità di rete host:

  • La modalità awsvpc di rete offre il massimo livello di isolamento della rete assegnando a ciascuna attività la propria elastic network interface.

  • La modalità bridge di rete fornisce l'isolamento e consente al contempo la mappatura delle porte per esporre specifiche porte container all'host.

Aggiornare le definizioni dell'attività

Crea una nuova revisione della definizione dell'attività con la configurazione della modalità di rete aggiornata. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.

Il ruolo IAM associato al servizio Amazon ECS ha una politica di accesso amministrativo.

I ruoli IAM con politiche di accesso amministrativo collegate alle attività di Amazon ECS forniscono autorizzazioni ampie che superano quelle normalmente richieste per il funzionamento dei container. Questa configurazione aumenta il rischio che un contenitore compromesso possa essere utilizzato per accedere o modificare le risorse in tutto l'ambiente. AWS Seguendo i principi di sicurezza standard, AWS consiglia di implementare l'accesso con privilegi minimi concedendo solo le autorizzazioni necessarie per il funzionamento di un'attività.

Rivedi e identifica le politiche amministrative

Nel Resource ID, identifica il nome del ruolo IAM. Vai alla dashboard IAM e seleziona il ruolo identificato. Rivedi la politica di autorizzazione allegata al ruolo IAM. Se la policy è una policy AWS gestita, cercaAdministratorAccess. Altrimenti, nel documento sulla politica, cerca le dichiarazioni che contengono le dichiarazioni "Effect": "Allow", "Action": "*", and "Resource": "*" insieme.

Implementazione dell'accesso con privilegi minimi

Sostituite le politiche amministrative con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'istanza. Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre applicazioni che utilizzano il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM, quindi associa il nuovo ruolo IAM all'istanza.

Considerazioni sulla configurazione sicura

Se per l'istanza sono necessarie autorizzazioni amministrative a livello di servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:

  • L'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse.

  • La configurazione degli elementi delle condizioni consente di limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età della MFA.

Aggiornare le definizioni dell'attività

Crea una nuova revisione della definizione del task che faccia riferimento ai ruoli IAM nuovi o aggiornati. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.

Caratteristiche di vulnerabilità per i servizi Amazon ECS

Ecco le caratteristiche di raggiungibilità per Amazon ECS e le procedure di correzione suggerite.

Il servizio Amazon ECS dispone di un contenitore con vulnerabilità software sfruttabili in rete con un'elevata probabilità di sfruttamento

  1. Comprendi l'esposizione

    I risultati delle vulnerabilità dei pacchetti identificano i pacchetti software presenti AWS nell'ambiente che sono esposti a vulnerabilità ed esposizioni comuni (). CVEs Gli aggressori possono sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Le immagini dei contenitori ECR possono contenere rilevazioni di vulnerabilità dei pacchetti.

  2. Correggi l'esposizione

    1. Aggiorna la versione del pacchetto

      Esamina la rilevazione delle vulnerabilità dei pacchetti per la tua funzione Lambda. Aggiorna la versione del pacchetto come suggerito da Amazon Inspector. Per informazioni, consulta Visualizzazione dei dettagli relativi ai risultati di Amazon Inspector nella Amazon Inspector User Guide. La sezione Remediation dei dettagli di ricerca nella console Amazon Inspector indica quali comandi è possibile eseguire per aggiornare il pacchetto.

    2. Aggiorna le immagini dei contenitori di base

      Ricostruisci e aggiorna regolarmente le immagini dei contenitori di base per mantenerli aggiornati. Quando ricostruite l'immagine, non includete componenti non necessari per ridurre la superficie di attacco. Per istruzioni sulla ricostruzione dell'immagine di un contenitore, consulta Ricostruisci spesso le tue immagini.

Il servizio Amazon ECS dispone di un contenitore con vulnerabilità software

I pacchetti software installati sui contenitori Amazon ECS possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs Le vulnerabilità a bassa priorità rappresentano punti deboli di sicurezza con gravità o sfruttabilità inferiori rispetto alle vulnerabilità ad alta priorità. Sebbene queste vulnerabilità rappresentino un rischio meno immediato, gli aggressori possono comunque sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi.

Aggiorna le immagini dei container interessati

Consultate la sezione Riferimenti nella scheda Vulnerabilità della caratteristica. La documentazione del fornitore può includere indicazioni specifiche sulla correzione.

Applica la riparazione appropriata seguendo queste linee guida generali:

  • Aggiorna le immagini dei contenitori per utilizzare le versioni con patch dei pacchetti interessati.

  • Aggiorna le dipendenze interessate nell'applicazione alle versioni sicure più recenti.

Dopo aver aggiornato l'immagine del contenitore, inseriscila nel registro dei contenitori e aggiorna la definizione dell'attività Amazon ECS per utilizzare la nuova immagine.

Considerazioni future

Per rafforzare ulteriormente il livello di sicurezza delle immagini dei container, prendi in considerazione l'idea di seguire le best practice di Amazon ECS per le attività e la sicurezza dei container. Amazon Inspector può essere configurato per eseguire la scansione automatica dei CVEs contenitori. Amazon Inspector può anche essere integrato con Security Hub per le riparazioni automatiche. Prendi in considerazione l'implementazione di un programma di patch regolare utilizzando Systems Manager Maintenance Windows per ridurre al minimo le interruzioni dei container.