Amazon ECS 受管執行個體的安全考量 - Amazon Elastic Container Service
安全模型安全性功能合規與法規支援安全考量安全最佳實務

Amazon ECS 受管執行個體的安全考量

Amazon ECS 受管執行個體提供全受管容器運算體驗,可讓您在特定 Amazon EC2 執行個體類型上執行工作負載,同時將安全性交由 AWS 負責。本主題介紹了使用 Amazon ECS 受管執行個體時的安全模型、功能與考量。

安全模型

Amazon ECS 受管執行個體會實作全面的安全模型,在彈性與保護之間取得平衡:

  • AWS 受管基礎結構 – AWS 會控制受管執行個體的生命週期,並處理安全修補,從而消除人為錯誤與竄改的可能性。

  • 無管理存取 – 安全模型已鎖定,並禁止對受管執行個體進行管理存取。

  • 多任務置放 – 依預設,Amazon ECS 受管執行個體會將多個任務置放在單一執行個體上,以最佳化成本與使用率。相較於 Fargate,這會放寬工作負載隔離限制。

  • 資料隔離 – 雖然 AWS 會控制執行個體生命週期與任務置放,但 AWS 無法登入受管執行個體或存取客戶資料。

安全性功能

Amazon ECS 受管執行個體包含數個內建的安全功能,旨在保護工作負載並維持良好的安全狀態。這些功能涵蓋自動化安全修補到在需要時支援特權 Linux 功能。

安全最佳實務

受管執行個體根據 AWS 安全最佳實務進行設定,包括:

  • 無 SSH 存取 – 遠端 Shell 存取已停用,以防止未經授權的存取。

  • 不可變的根檔案系統 – 根檔案系統無法修改,從而可確保系統完整性。

  • 核心層級強制性存取控制 – SELinux 在核心層級提供額外的安全性強制執行。

自動安全修補

Amazon ECS 受管執行個體會透過自動化修補,協助改善工作負載的安全狀態:

  • 定期安全性更新 – 根據您設定的維護時段,AWS 會以最新的安全性修補程式定期更新執行個體。

  • 執行個體生命週期有限 – 執行中的執行個體的生命週期上限限制為 14 天,以確保應用程式在具有適當設定與最新安全性修補程式的執行個體上執行。

  • 維護時段控制 – 您可以使用 Amazon EC2 事件時段功能來指定 Amazon ECS 何時應以修補後的執行個體取代原執行個體。

特權 Linux 功能

Amazon ECS 受管執行個體支援需要更高 Linux 權限的軟體,從而啟用進階監控與安全性解決方案:

  • 支援的功能 – 您可以選擇使用所有特權 Linux 功能,包括 CAP_NET_ADMINCAP_SYS_ADMINCAP_BPF

  • 熱門解決方案 – 這讓您能夠執行熱門的網路監控與可觀測性解決方案,例如 Wireshark 與 Datadog。

  • 需要明確組態 – 您必須明確設定 Amazon ECS 受管執行個體容量提供者,以啟用特權 Linux 功能,因為它可能會對您的應用程式造成額外的安全風險。

重要

啟用特權 Linux 功能可能會讓您的任務面臨額外的安全風險。請僅在應用程式需要時才啟用這些功能,並確保您了解安全性影響。

合規與法規支援

Amazon ECS 受管執行個體會維持與 Amazon ECS 相同的合規狀態:

  • 合規計畫 – Amazon ECS 受管執行個體與 Amazon ECS 遵守相同的 AWS 保證計畫,包括 PCI-DSS、HIPAA 與 FedRAMP。

  • FIPS 端點 – Amazon ECS 受管執行個體遵守在 AWS 區域中使用 FIPS 端點的帳戶層級設定,協助達成 FedRAMP 合規。

  • 客戶自管金鑰 – 它支援實現合規所需的安全功能,例如用於加密的客戶自管金鑰。

安全考量

使用 Amazon ECS 受管執行個體時,需要了解和規劃數個重要的安全考量。這些考量可協助您就工作負載架構與安全需求作出明智的決策。

多任務安全模型

Amazon ECS 受管執行個體中的預設多任務置放模型與 Fargate 的單一任務隔離不同:

  • 共用執行個體資源 – 多項任務在同一執行個體上執行,可能會讓任務暴露於在同一個執行個體上或同一個 ECS 叢集中執行之其他任務所存在的漏洞。

  • 單一任務選項 – 您可以將 Amazon ECS 受管執行個體設定為對需要具有虛擬機器層級安全隔離界限之預設 Fargate 安全模型的客戶使用單一任務模式。

  • 成本與安全權衡 – 多任務模式可實現成本最佳化與更快的任務啟動時間,而單一任務模式可提供更強大的隔離。

處理執行個體中斷問題

使用 Amazon ECS 受管執行個體時,請務必將應用程式設計為能夠容忍中斷情況:

  • 中斷容忍 – 將 Amazon ECS 受管執行個體與可容忍基礎服務或任務中斷的應用程式搭配使用。

  • 服務型工作負載 – 使用 Amazon ECS 服務進行自動任務取代,或在獨立任務上執行受控制且持續時間限制不超過 14 天的工作負載。

  • 優雅關閉 – 設定任務關閉寬限期以控制中斷產生的影響。

資料存取與隱私

Amazon ECS 受管執行個體會維持嚴格的資料存取控制:

  • 無客戶資料存取 – 雖然 AWS 會控制受管執行個體的生命週期與執行個體上的任務置放,但 AWS 無法登入受管執行個體或存取客戶資料。

  • 僅限指標與日誌 – AWS 僅擷取提供 Amazon ECS 受管執行個體功能所需的指標與相關日誌。

  • 鎖定的安全模型 – 安全模型禁止管理存取,從而可消除人為錯誤與竄改的可能性。

安全最佳實務

使用 Amazon ECS 受管執行個體時,請遵循下列最佳實務:

  • 評估安全模型 – 根據您的安全需求,謹慎地決定採用 Amazon ECS 受管執行個體,特別是在多任務置放模型方面。

  • 視需要使用單一任務模式 – 如果您的工作負載需要更強大的隔離,請將 Amazon ECS 受管執行個體設定為使用單一任務模式。

  • 將特權功能降至最低 – 請僅在絕對必要且了解相關安全風險時,才啟用特權 Linux 功能。

  • 制定中斷計畫 – 將應用程式設計為以優雅的方式處理執行個體取代,尤其是考量 14 天的執行個體生命週期上限。

  • 設定維護時段 – 使用 EC2 事件時段來控制執行個體取代的時間,將對工作負載的影響降至最低。

  • 監控與稽核 – 定期檢閱您的 Amazon ECS 受管執行個體組態,並監控任何與安全性相關的事件或變更。