Melhores práticas de criptografia para o Amazon ECS

O Amazon Elastic Container Service (Amazon ECS) é um serviço de gerenciamento de contêineres escalável e rápido que facilita a execução, a interrupção e o gerenciamento de contêineres em um cluster.

Com o Amazon ECS, é possível criptografar dados em trânsito usando qualquer uma das seguintes abordagens:

Crie uma malha de serviços Usando AWS App Mesh, configure conexões TLS entre os proxies Envoy implantados e os endpoints de malha, como nós virtuais ou gateways virtuais. Você pode usar certificados TLS de AWS Private Certificate Authority ou certificados fornecidos pelo cliente. Para obter mais informações e orientações, consulte Habilitar a criptografia de tráfego entre serviços em AWS App Mesh uso AWS Certificate Manager (ACM) ou certificados fornecidos pelo cliente (postagem do blog).AWS
Se houver suporte, use AWS Nitro Enclaves. AWS O Nitro Enclaves é um EC2 recurso da Amazon que permite criar ambientes de execução isolados, chamados enclaves, a partir de instâncias da Amazon. EC2 Eles foram projetados para ajudar a proteger seus dados mais sensíveis. Além disso, o ACM for Nitro Enclaves permite que você use SSL/TLS certificados públicos e privados com seus aplicativos e servidores web executados em EC2 instâncias da Amazon com o Nitro Enclaves. AWS Para obter mais informações, consulte AWS Nitro Enclaves — EC2 Ambientes isolados para processar dados confidenciais (AWS postagem no blog).
Use o protocolo de Indicação de Nome de Servidor (SNI) com balanceadores de carga de aplicativos. Você pode implantar vários aplicativos em um único ouvinte HTTPS para um Application Load Balancer. Cada receptor tem seu próprio certificado TLS. É possível usar certificados fornecidos pelo ACM ou certificados autoassinados. Tanto o Application Load Balancer quanto o Network Load Balancer são compatíveis com o SNI. Para obter mais informações, consulte Application Load Balancers Now Support Multiple TLS Certificates with Smart Selection Using SNI (AWS postagem no blog).
Para maior segurança e flexibilidade, use AWS Private Certificate Authority para implantar um certificado TLS com a tarefa do Amazon ECS. Para obter mais informações, consulte Mantendo o TLS até o contêiner, parte 2: Usando AWS Private CA (postagem AWS do blog).
Implemente TLS mútuo (mTLS) no App Mesh usando o serviço de descoberta secreta (Envoy) ou certificados hospedados no ACM (). GitHub

Considere as seguintes práticas recomendadas de criptografia para esse serviço:

Quando tecnicamente viável, para maior segurança, configure Endpoints da VPC de interface do Amazon ECS em AWS PrivateLink. O acesso a esses endpoints por meio de uma conexão VPN criptografa os dados em trânsito.
Armazene materiais confidenciais, como chaves de API ou credenciais de banco de dados, em segurança. É possível armazená-los como parâmetros criptografados no Parameter Store, um recurso do AWS Systems Manager. No entanto, recomendamos que você use AWS Secrets Manager porque esse serviço permite alternar segredos automaticamente, gerar segredos aleatórios e compartilhar segredos entre Contas da AWS si.
Se usuários ou aplicativos em seu data center ou terceiros externos na Web estiverem fazendo solicitações diretas da API HTTPS Serviços da AWS, assine essas solicitações com credenciais de segurança temporárias obtidas de AWS Security Token Service (AWS STS).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Amazon ECR

Amazon EFS