Amazon ECS의 암호화 모범 사례

Amazon Elastic Container Service(Amazon ECS)는 클러스터에서 컨테이너를 실행, 중지 및 관리하는 데 도움이 되는 빠르고 확장 가능한 컨테이너 관리 서비스입니다.

Amazon ECS에서는 다음 접근 방식 중 하나를 사용하여 전송 중 데이터를 암호화할 수 있습니다.

• 서비스 메시를 생성합니다. 를 사용하여 배포된 Envoy 프록시와 가상 노드 또는 가상 게이트웨이와 같은 메시 엔드포인트 간에 TLS 연결을 AWS App Mesh구성합니다. AWS Private Certificate Authority 또는 고객 제공 인증서의 TLS 인증서를 사용할 수 있습니다. 자세한 내용과 연습은 (ACM) 또는 고객 제공 인증서(블로그 게시물)를 AWS App Mesh 사용하여 AWS Certificate Manager 에서 서비스 간 트래픽 암호화 활성화를 참조하세요.AWS

• 지원되는 경우 AWS Nitro Enclaves를 사용합니다. AWS Nitro Enclaves는 Amazon EC2 인스턴스에서 엔클레이브라는 격리된 실행 환경을 생성할 수 있는 Amazon EC2 기능입니다. 가장 민감한 데이터를 보호할 수 있도록 설계되었습니다. 또한 ACM for Nitro Enclaves를 사용하면 AWS Nitro Enclaves가 포함된 Amazon EC2 인스턴스에서 실행되는 웹 애플리케이션 및 웹 서버에서 퍼블릭 및 프라이빗 SSL/TLS 인증서를 사용할 수 있습니다. 자세한 내용은 AWS Nitro Enclaves – 기밀 데이터를 처리하기 위한 격리된 EC2 환경(AWS 블로그 게시물)을 참조하세요.

• Application Load Balancer에서 서버 이름 표시(SNI) 프로토콜을 사용합니다. Application Load Balancer에 대한 단일 HTTPS 리스너 뒤에 여러 애플리케이션을 배포할 수 있습니다. 리스너마다 고유한 TLS 인증서가 있습니다. ACM이 제공하는 인증서나 자체 서명된 인증서를 사용할 수 있습니다. Application Load Balancer와 Network Load Balancer 모두 SNI를 지원합니다. 자세한 내용은 Application Load Balancer Now Support Multiple TLS Certificates with Smart Selection Using SNI(AWS 블로그 게시물)를 참조하세요.

• 보안 및 유연성을 개선 AWS Private Certificate Authority 하려면를 사용하여 Amazon ECS 태스크와 함께 TLS 인증서를 배포합니다. 자세한 내용은 컨테이너 파트 2: 사용까지 TLS 유지 관리(블로그 게시물)를 참조하세요 AWS Private CA.AWS

• Secret discovery service(Envoy) 또는 ACM에서 호스팅되는 인증서(GitHub)를 사용하여 App Mesh에서 상호 TLS(mTLS)를 구현합니다.

이 서비스에 대해 다음 암호화 모범 사례를 고려하세요.

• 기술적으로 가능한 경우 보안 강화를 위해 AWS PrivateLink에서 Amazon ECS 인터페이스 VPC 엔드포인트를 구성합니다. VPN 연결을 통해 이러한 엔드포인트에 액세스하면 전송 중 데이터가 암호화됩니다.

• API 키 또는 데이터베이스 보안 인증과 같은 민감한 자료를 안전하게 저장합니다. 이러한 자료를 AWS Systems Manager의 기능인 Parameter Store에 암호화된 파라미터로 저장할 수 있습니다. 그러나이 서비스를 사용하면 보안 암호를 자동으로 교체하고, 무작위 보안 암호를 생성하고, 보안 암호를 공유할 수 AWS Secrets Manager 있으므로를 사용하는 것이 좋습니다 AWS 계정.

• 데이터 센터의 사용자 또는 애플리케이션이나 웹의 외부 타사가 직접 HTTPS API 요청을 하는 경우 AWS Security Token Service ()에서 얻은 임시 보안 자격 증명을 사용하여 해당 요청에 AWS 서비스서명합니다AWS STS.