View a markdown version of this page

Considerazioni sulla sicurezza per le Istanze gestite da Amazon ECS - Amazon Elastic Container Service
Modello di sicurezzaComprensione delle istanze gestiteFunzionalità di sicurezzaConformità e supporto normativoConsiderazioni sulle istanze FIPS-140 gestite di Amazon ECSDisattiva FIPS sulle istanze gestite di Amazon ECSConsiderazioni relative alla sicurezzaBest practice di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni sulla sicurezza per le Istanze gestite da Amazon ECS

Le Istanze gestite da Amazon ECS offrono un'esperienza di calcolo in container completamente gestita che consente di eseguire carichi di lavoro su tipi di istanze Amazon EC2 specifici, delegando al contempo le responsabilità di sicurezza ad AWS. Questo argomento descrive il modello di sicurezza, le caratteristiche e le considerazioni relative all'utilizzo delle Istanze gestite da Amazon ECS.

Modello di sicurezza

Le Istanze gestite da Amazon ECS implementano un modello di sicurezza completo che bilancia flessibilità e protezione:

  • AWS-infrastruttura gestita: AWS controlla il ciclo di vita delle istanze gestite e gestisce le patch di sicurezza, eliminando la possibilità di errori umani e manomissioni.

  • Nessun accesso amministrativo: il modello di sicurezza è bloccato e vieta l'accesso amministrativo alle istanze gestite.

  • Multi-task posizionamento - Per impostazione predefinita, Amazon ECS Managed Instances colloca più attività su una singola istanza per ottimizzare costi e utilizzo, il che allenta il vincolo di isolamento del carico di lavoro rispetto a Fargate.

  • Isolamento dei dati: sebbene AWS controlli il ciclo di vita delle istanze e il posizionamento delle attività, non può accedere alle istanze gestite o accedere ai dati dei clienti. AWS

Comprensione delle istanze gestite

Amazon ECS Managed Instances effettua il provisioning delle istanze gestite EC2 nel tuo account. In qualità di operatore designato, Amazon ECS gestisce l'intero ciclo di vita di queste istanze per tuo conto, inclusi il provisioning, la scalabilità, l'applicazione di patch e la terminazione. Non disponi delle autorizzazioni per terminare direttamente queste istanze o modificare le impostazioni delle istanze. Per ulteriori informazioni, consulta Istanze gestite di Amazon EC2.

Identificazione delle istanze gestite

Puoi identificare le istanze gestite di Amazon ECS nel tuo account utilizzando i seguenti indicatori:

  • Il Operator campo nella DescribeInstances risposta di Amazon EC2, con un valore di. ecs.amazonaws.com

  • Il aws:ec2:managed-launch tag sull'istanza, con un valore diecs-managed-instances.

Visibilità gestita delle risorse

A partire dal 22 aprile 2026, Amazon EC2 nasconde per impostazione predefinita le nuove istanze gestite dalle visualizzazioni della console Amazon EC2 e dalle operazioni degli elenchi di API. Le impostazioni di visibilità non influiscono sulla fatturazione o sul funzionamento delle risorse e le istanze gestite rimangono pienamente operative e fatturabili indipendentemente dalla configurazione di visibilità. Puoi modificare questo comportamento in qualsiasi momento. Per ulteriori informazioni, consulta Impostazioni di visibilità delle risorse gestite.

Funzionalità di sicurezza

Le Istanze gestite da Amazon ECS includono diverse funzionalità di sicurezza integrate progettate per proteggere i carichi di lavoro e mantenere una solida posizione di sicurezza. Queste funzionalità vanno dall'applicazione automatica delle patch di sicurezza al supporto di funzionalità Linux privilegiate quando necessario.

Best practice di sicurezza

Le istanze gestite sono configurate in base alle migliori pratiche AWS di sicurezza, tra cui:

  • Nessun accesso SSH: l'accesso remoto alla shell è disabilitato per impedire accessi non autorizzati.

  • Filesystem del root immutabile: il filesystem del root non può essere modificato, garantendo l'integrità del sistema.

  • Kernel-level controlli di accesso obbligatori: SELinux fornisce un'ulteriore applicazione della sicurezza a livello di kernel.

Applicazione automatica delle patch di sicurezza

Le Istanze gestite da Amazon ECS aiutano a migliorare il livello di sicurezza dei carichi di lavoro attraverso l'applicazione di patch automatizzate:

  • Aggiornamenti di sicurezza regolari - Le istanze vengono regolarmente aggiornate con le ultime patch di sicurezza entro AWS, rispetto alle finestre di manutenzione configurate.

  • Durata limitata dell'istanza: la durata massima di un'istanza in esecuzione è limitata a 14 giorni, per garantire che le applicazioni vengano eseguite su istanze configurate in modo appropriato con patch di sicurezza aggiornate.

  • Controllo delle finestre di manutenzione: è possibile utilizzare la funzionalità delle finestre degli eventi di Amazon EC2 per specificare quando Amazon ECS deve sostituire le istanze con quelle con patch.

Funzionalità Linux privilegiate

Le Istanze gestite da Amazon ECS supportano software che richiedono privilegi Linux elevati, abilitando soluzioni di monitoraggio e sicurezza avanzate:

  • Funzionalità supportate: è possibile attivare tutte le funzionalità Linux privilegiate, tra cui CAP_NET_ADMIN, CAP_SYS_ADMIN e CAP_BPF.

  • Soluzioni popolari: ciò consente di eseguire le più diffuse soluzioni di monitoraggio e osservabilità della rete come Wireshark e Datadog.

  • Configurazione esplicita richiesta: è necessario configurare in modo esplicito il provider di capacità delle Istanze gestite da Amazon ECS per abilitare funzionalità Linux privilegiate, poiché ciò potrebbe comportare rischi di sicurezza aggiuntivi per le applicazioni.

Importante

L'attivazione delle funzionalità privilegiate di Linux può esporre le attività a rischi di sicurezza aggiuntivi. Abilitare queste funzionalità solo quando richiesto dalle applicazioni e assicurarsi di comprendere le implicazioni sulla sicurezza.

Conformità e supporto normativo

Le Istanze gestite da Amazon ECS mantengono lo stesso livello di conformità di Amazon ECS:

  • Programmi di conformità: Amazon ECS Managed Instances rientra nell'ambito degli stessi programmi di AWS garanzia di Amazon ECS PCI-DSS, inclusi HIPAA e FedRAMP.

  • Endpoint FIPS: Amazon ECS Managed Instances supporta la configurazione degli endpoint FIPS a livello di provider di capacità. A differenza di Fargate, che utilizza un'impostazione a livello di account, Amazon ECS Managed Instances utilizza un'impostazione per provider di capacità perché FIPS è una configurazione per istanza. Si configura FIPS durante la creazione o l'aggiornamento di un provider di capacità.

  • Chiavi gestite dal cliente: supporta le funzionalità di sicurezza necessarie per il raggiungimento della conformità, come le chiavi gestite dal cliente per la crittografia.

Considerazioni sulle istanze FIPS-140 gestite di Amazon ECS

Considera quanto segue quando utilizzi la FIPS-140 conformità su Amazon ECS Managed Instances:

  • FIPS-140-compliant Le AMI per istanze gestite sono disponibili solo nelle regioni. AWS GovCloud (US)

  • Le istanze gestite di Amazon ECS supportano FIPS-140-3

  • FIPS-140 la conformità è abilitata per impostazione predefinita nelle AWS GovCloud (US) regioni. Se devi eseguire carichi di lavoro senza la conformità FIPS, disattiva la conformità FIPS nella configurazione Managed Instances Capacity Provider.

  • Le cpuArchitecture tue attività devono riguardare la conformità. X86_64 FIPS-140

Disattiva FIPS sulle istanze gestite di Amazon ECS

Per impostazione predefinita, i fornitori di capacità di Amazon ECS Managed Instances in AWS GovCloud (US) Regions FIPS-compliant lanciano le AMI. Scegli di disabilitare la FIPS-140 conformità quando crei un nuovo Amazon ECS Managed Instances Capacity Provider. Segui questi passaggi per creare un nuovo Capacity Provider senza conformità FIPS.

  1. Disattiva FIPS-140 la conformità su Capacity Provider.

    aws ecs create-capacity-provider \
    --cluster cluster-name \
    --name capacity-provider-name \
    --managed-instances-provider '{
        "infrastructureRoleArn": "infrastructure-role-arn",
        "instanceLaunchTemplate": {
            "ec2InstanceProfileArn": "instance-profile-arn",
            "fipsEnabled": false,
            "networkConfiguration": {
                "subnets": ["subnet-id"],
                "securityGroups": ["security-group-id"]
            }
        }
    }'

  2. Facoltativamente, puoi utilizzare ECS Exec per eseguire il seguente comando per verificare lo stato di FIPS-140 conformità di un provider di capacità.

    Sostituisci cluster-name con il nome del cluster, task-id con l'ID o l'ARN dell'attività e container-name con il nome del contenitore dell'attività su cui desideri eseguire il comando.

    Un valore restituito corrispondente a "1" indica che stai utilizzando FIPS.

    aws ecs execute-command \
    --cluster cluster-name \
    --task task-id \
    --container container-name \
    --interactive \
    --command "cat /proc/sys/crypto/fips_enabled"

Considerazioni relative alla sicurezza

Quando si utilizzano le Istanze gestite da Amazon ECS, ci sono diverse importanti considerazioni sulla sicurezza da comprendere e pianificare. Queste considerazioni ti aiutano a prendere decisioni informate sull'architettura del carico di lavoro e sui requisiti di sicurezza.

Multi-task modello di sicurezza

Il modello di posizionamento multi-task predefinito nelle Istanze gestite da Amazon ECS è diverso dall'isolamento a singola attività di Fargate:

  • Risorse condivise di istanze: è possibile eseguire più attività sulla stessa istanza, esponendo potenzialmente un'attività alle vulnerabilità di altre attività in esecuzione sulla stessa istanza o nello stesso cluster ECS.

  • Single-task opzione - Puoi configurare Amazon ECS Managed Instances per utilizzare la modalità single-task per i clienti che richiedono il modello di sicurezza Fargate predefinito con limite di isolamento di sicurezza. VM-level

  • Compromesso tra costi e sicurezza: la modalità consente di ottimizzare i costi e velocizzare i tempi di avvio delle attività, mentre la Multi-task modalità a task singolo offre un isolamento più forte.

Gestione delle interruzioni dell'istanza

È importante progettare le applicazioni in modo da tollerare le interruzioni quando si utilizzano le Istanze gestite da Amazon ECS:

  • Tolleranza all'interruzione: utilizzare le Istanze gestite da Amazon ECS con applicazioni che tollerano l'interruzione dei servizi o delle attività sottostanti.

  • Service-based carichi di lavoro: utilizza i servizi Amazon ECS per la sostituzione automatica delle attività o esegui carichi di lavoro con una durata controllata e limitata non superiore a 14 giorni su attività autonome.

  • Arresto regolare: configurare il periodo di tolleranza per la chiusura delle attività per controllare l'impatto delle interruzioni.

Accesso e privacy dei dati

Le Istanze gestite da Amazon ECS mantengono rigorosi controlli di accesso ai dati:

  • Nessun accesso ai dati dei clienti: sebbene AWS controlli il ciclo di vita delle istanze gestite e il posizionamento delle attività sulle istanze, AWS non può accedere alle istanze gestite o accedere ai dati dei clienti.

  • Solo parametri e log: AWS acquisisce solo i parametri e i log correlati necessari per fornire le funzionalità di Amazon ECS Managed Instances.

  • Locked-down modello di sicurezza: il modello di sicurezza vieta l'accesso amministrativo, eliminando la possibilità di errori umani e manomissioni.

Best practice di sicurezza

Seguire queste best practice quando si utilizzano le Istanze gestite da Amazon ECS:

  • Valutare il modello di sicurezza: prendere una decisione consapevole sull'adozione delle Istanze gestite da Amazon ECS in base ai requisiti di sicurezza, in particolare per quanto riguarda il modello di posizionamento multi-task.

  • Usare la modalità single-task quando necessario: se i carichi di lavoro richiedono un isolamento più forte, configurare le Istanze gestite da Amazon ECS per utilizzare la modalità single-task.

  • Ridurre al minimo le funzionalità privilegiate: abilitare le funzionalità privilegiate di Linux solo quando assolutamente necessario e comprendere i rischi per la sicurezza associati.

  • Pianificare le interruzioni: progettare le applicazioni per gestire le sostituzioni delle istanze in modo corretto, soprattutto considerando la durata massima delle istanze di 14 giorni.

  • Configurare le finestre di manutenzione: utilizzare le finestre degli eventi EC2 per controllare quando avvengono le sostituzioni delle istanze e ridurre al minimo l'impatto sui carichi di lavoro.

  • Monitoraggio e verifica: esaminare regolarmente la configurazione delle Istanze gestite da Amazon ECS e monitorare eventuali eventi o modifiche relativi alla sicurezza.