View a markdown version of this page

Modelo de responsabilidade compartilhada da AWS para o Amazon ECS - Amazon Elastic Container Service

Modelo de responsabilidade compartilhada da AWS para o Amazon ECS

Segurança e conformidade são uma responsabilidade compartilhada entre a AWS e o cliente. Esse modelo compartilhado pode ajudar a reduzir os encargos operacionais do cliente porque a AWS opera, gerencia e controla os componentes do sistema operacional do host e a camada de virtualização, incluindo a segurança física das instalações em que o serviço opera. O cliente assume o gerenciamento e a responsabilidade pelo sistema operacional convidado (inclusive por atualizações e correções de segurança) e por outro software de aplicação associado, bem como pela configuração do firewall dos grupos de segurança fornecido pela AWS. Os clientes devem examinar cuidadosamente os serviços que escolherem, pois suas respectivas responsabilidades variam de acordo com os serviços utilizados, a integração desses serviços ao seu ambiente de TI e as leis e regulamentações aplicáveis. A natureza dessa responsabilidade compartilhada também oferece a flexibilidade e o controle do cliente que permitem a implantação.

Fargate

A ilustração abaixo mostra o modelo de responsabilidade compartilhada para o tipo de inicialização do Fargate. O Fargate executa cada workload em um ambiente virtualizado de hardware isolado. Como resultado, cada tarefa recebe uma capacidade de infraestrutura dedicada. As workloads em contêineres executadas no Fargate não compartilham um sistema operacional, o kernel do Linux, a interface de rede, o armazenamento efêmero, a CPU ou a memória com outras tarefas. Ao utilizar o Fargate, os clientes não são responsáveis por proteger a infraestrutura de computação que executa seus contêineres. O Fargate provisionará e corrigirá a infraestrutura na qual as workloads do cliente são executadas. Para obter mais informações, consulte Retirada e manutenção de tarefas para o AWS Fargate no Amazon ECS.

Você é responsável por gerenciar os seguintes recursos:

Diagrama mostrando o modelo de responsabilidade compartilhada do Fargate no Amazon ECS.

EC2

A ilustração a seguir mostra a responsabilidade compartilhada para o EC2. Ao executar tarefas em instâncias do EC2, você é responsável por manter suas instâncias do EC2, além dos seguintes recursos:

  • O agente do Amazon ECS.

  • A AMI da instância do EC2, incluindo patches e hardening.

  • Configuração de rede, incluindo VPC, NACLs, grupos de segurança e tabelas de rotas

  • Criptografia de armazenamento de clientes e serviços. Para obter mais informações, consulte Opções de armazenamento para tarefas do Amazon ECS.

  • Imagens de contêiner. Para obter mais informações, consulte Práticas recomendadas de segurança para tarefas e contêineres do Amazon ECS.

  • Permissões do IAM para as aplicações usando o perfil de tarefa. Para obter mais informações, consulte Perfil do IAM para tarefas do Amazon ECS.

  • Como configurar instâncias de contêineres para bloquear o acesso de contêineres ao Amazon EC2 Instance Metadata Service (IMDS). Para obter mais informações, consulte Recomendações de perfis.

  • Considerações de segurança para workloads com localização conjunta. Ao contrário do Fargate, não há isolamento de tarefas em instâncias de contêiner do EC2. Os contêineres têm o potencial de acessar credenciais, variáveis de ambiente e arquivos temporários de outras tarefas na mesma instância, incluindo dados deixados por tarefas executadas anteriormente. Para aplicações sensíveis, configure seu ambiente para que cada aplicação seja executada em instâncias dedicadas.

O diagrama a seguir ilustra o modelo de responsabilidade compartilhada do EC2, mostrando quais responsabilidades de segurança são gerenciadas pela AWS e quais são as suas responsabilidades.

Diagrama que mostra o modelo de responsabilidade compartilhada do EC2 no Amazon ECS.