aws ecs 服务安全

Question

我是 aws ecs 服务的新手，想了解 ecs 服务内部的安全性。

我正在创建一个 ecs 任务，其中包括两个 docker 容器（A 和 B）。 spring-boot 应用程序在容器 B 上运行，用作后端服务的网关。 从容器 A 访问此应用程序不需要登录/安全性 .. 所以我可以像http://localhost:8080/middleware/一样调用......然后一个 servlet 生成一个 saml 令牌并通过添加它来调用后端服务令牌作为授权标头。 一切看起来都很好，工作正常。 但是，一些开发人员表示这种设计存在缺陷。 “即使 ecs 服务在 SecurityGroup 中运行并且只打开了一个入口点端口，黑客也有可能将恶意软件安装到运行两个容器的 ec2 实例上，并且该恶意软件可以调用在容器 B 中运行的 spring-boot 应用程序是安全漏洞”

我不确定我从同事那里听到的是否属实？ aws 中的安全性不够强，无法在容器之间没有安全性的情况下使用 localhost 进行通信？？ 如果有人告诉我这件事，将不胜感激！！

Answer 1

安全性和合规性是AWS 和客户之间的 共同责任。

一般来说，AWS 负责整个云基础设施的安全，而客户负责应用程序、实例及其数据的安全。

对于像 ECS 这样的服务，它被归类为基础设施即服务 (IaaS)，因此要求客户执行所有必要的安全配置和相关管理任务。

作为客户，您通常会通过强化实例来保护 EC2 类型的 ECS 负载，使用适当的安全组，实施 VPC 安全功能，例如 NACLS 和私有子网，使用最低权限的 IAM 用户/角色，同时还应用 Docker 安全最佳实践来保护容器和图像。

注意：Docker 本身是一个复杂的系统，没有一个技巧可以用来维护 Docker 容器的安全。 相反，您必须广泛考虑保护 Docker 容器的方法，并在多个级别强化您的容器环境，包括实例本身。 这样做是确保您可以享受 Docker 的所有好处的唯一方法，而不会让自己面临重大安全问题的风险。

对您的具体问题和评论的一些回答：

黑客有可能将恶意软件安装到运行两个容器的 ec2 实例上，并且该恶意软件

如果黑客渗透了您的实例并安装了恶意软件，那么您在实例级别而不是容器级别存在重大安全漏洞。 强化和保护您的实例，以确保您的周边受到保护。 这是客户的责任。

aws 中的安全性不够强，无法在容器之间没有安全性的情况下使用 localhost 进行通信？

AWS 基础设施安全且合规，并保持符合 PCI 和 HIPPA 等安全标准的认证合规性。 由于这个原因，您无需担心基础设施级别的安全性，这是 AWS 的责任。

从容器 A 访问这个应用程序不需要登录/安全性..所以我可以像http://localhost:8080/middleware这样调用

这当然不是理想的安全性，而且保护此类应用程序端点的安全也是客户的责任。 您应该考虑在此处实施基本身份验证 - 这几乎可以由任何 Web 或应用程序服务器实施。 您还可以实施 IP 白名单，以便只能从容器 A 网络子网接受 API 调用。

有关 ECS 安全性的更多信息，请参阅Amazon Elastic Container Service 中的安全性

有关 AWS 基础设施安全性的更多信息，请参阅Amazon Web Services：安全流程概述

Answer 2

是的，你同事的观察是正确的。

这种黑客攻击的可能性很大。 但是，AWS 确实提供了许多不同的方式来保护您自己的服务器和容器。

1. 在公共子网中使用嵌套安全组

在这种情况下，AWS 允许端口访问特定安全组而不是 IP 地址/CIDR 范围。 因此，只有嵌套了特定安全组的资源才能访问这些端口，而外部人员无法访问它们。

2. 使用虚拟私有云

在这种情况下，在私有子网中托管您的所有实例和 ecs 容器，并仅允许通过 NAT 网关访问特定端口以进行公共访问，在这种情况下，您的实例不会直接受到攻击。