aws ecs 服務安全

Question

我是 aws ecs 服務的新手，想了解 ecs 服務內部的安全性。

我正在創建一個 ecs 任務，其中包括兩個 docker 容器（A 和 B）。 spring-boot 應用程序在容器 B 上運行，用作后端服務的網關。 從容器 A 訪問此應用程序不需要登錄/安全性 .. 所以我可以像http://localhost:8080/middleware/一樣調用......然后一個 servlet 生成一個 saml 令牌並通過添加它來調用后端服務令牌作為授權標頭。 一切看起來都很好，工作正常。 但是，一些開發人員表示這種設計存在缺陷。 “即使 ecs 服務在 SecurityGroup 中運行並且只打開了一個入口點端口，黑客也有可能將惡意軟件安裝到運行兩個容器的 ec2 實例上，並且該惡意軟件可以調用在容器 B 中運行的 spring-boot 應用程序是安全漏洞”

我不確定我從同事那里聽到的是否屬實？ aws 中的安全性不夠強，無法在容器之間沒有安全性的情況下使用 localhost 進行通信？？ 如果有人告訴我這件事，將不勝感激！！

Answer 1

安全性和合規性是AWS 和客戶之間的 共同責任。

一般來說，AWS 負責整個雲基礎設施的安全，而客戶負責應用程序、實例及其數據的安全。

對於像 ECS 這樣的服務，它被歸類為基礎設施即服務 (IaaS)，因此要求客戶執行所有必要的安全配置和相關管理任務。

作為客戶，您通常會通過強化實例來保護 EC2 類型的 ECS 負載，使用適當的安全組，實施 VPC 安全功能，例如 NACLS 和私有子網，使用最低權限的 IAM 用戶/角色，同時還應用 Docker 安全最佳實踐來保護容器和圖像。

注意：Docker 本身是一個復雜的系統，沒有一個技巧可以用來維護 Docker 容器的安全。 相反，您必須廣泛考慮保護 Docker 容器的方法，並在多個級別強化您的容器環境，包括實例本身。 這樣做是確保您可以享受 Docker 的所有好處的唯一方法，而不會讓自己面臨重大安全問題的風險。

對您的具體問題和評論的一些回答：

黑客有可能將惡意軟件安裝到運行兩個容器的 ec2 實例上，並且該惡意軟件

如果黑客滲透了您的實例並安裝了惡意軟件，那么您在實例級別而不是容器級別存在重大安全漏洞。 強化和保護您的實例，以確保您的周邊受到保護。 這是客戶的責任。

aws 中的安全性不夠強，無法在容器之間沒有安全性的情況下使用 localhost 進行通信？

AWS 基礎設施安全且合規，並保持符合 PCI 和 HIPPA 等安全標准的認證合規性。 由於這個原因，您無需擔心基礎設施級別的安全性，這是 AWS 的責任。

從容器 A 訪問這個應用程序不需要登錄/安全性..所以我可以像http://localhost:8080/middleware這樣調用

這當然不是理想的安全性，而且保護此類應用程序端點的安全也是客戶的責任。 您應該考慮在此處實施基本身份驗證 - 這幾乎可以由任何 Web 或應用程序服務器實施。 您還可以實施 IP 白名單，以便只能從容器 A 網絡子網接受 API 調用。

有關 ECS 安全性的更多信息，請參閱Amazon Elastic Container Service 中的安全性

有關 AWS 基礎設施安全性的更多信息，請參閱Amazon Web Services：安全流程概述

Answer 2

是的，你同事的觀察是正確的。

這種黑客攻擊的可能性很大。 但是，AWS 確實提供了許多不同的方式來保護您自己的服務器和容器。

1. 在公共子網中使用嵌套安全組

在這種情況下，AWS 允許端口訪問特定安全組而不是 IP 地址/CIDR 范圍。 因此，只有嵌套了特定安全組的資源才能訪問這些端口，而外部人員無法訪問它們。

2. 使用虛擬私有雲

在這種情況下，在私有子網中托管您的所有實例和 ecs 容器，並僅允許通過 NAT 網關訪問特定端口以進行公共訪問，在這種情況下，您的實例不會直接受到攻擊。