Controlli dell'integrità di Service Connect e Application Load Balancer AWS Autorità di certificazione privata certificati e Service Connect Service Connect e Secrets Manager Service Connect e AWS Key Management Service

Crittografare il traffico di Amazon ECS Service Connect

Amazon ECS Service Connect supporta la crittografia automatica del traffico con certificati Transport Layer Security (TLS) per i servizi Amazon ECS. Quando si indirizzano i servizi Amazon ECS verso un AWS Autorità di certificazione privata (AWS Private CA), Amazon ECS fornisce automaticamente certificati TLS per crittografare il traffico tra i servizi Amazon ECS Service Connect. Amazon ECS genera, ruota e distribuisce i certificati TLS utilizzati per la crittografia del traffico.

La crittografia automatica del traffico con Service Connect utilizza funzionalità di crittografia leader del settore per proteggere le comunicazioni tra servizi e soddisfare i requisiti di sicurezza. Supporta certificati AWS Autorità di certificazione privata TLS con crittografia256-bit ECDSA. 2048-bit RSA Si dispone anche del pieno controllo sui certificati privati e sulle chiavi di firma per soddisfare i requisiti di conformità. Per impostazione predefinita, TLS 1.3 è supportato, ma TLS 1.0-1.2 non lo sono. Service Connect supporta TLS 1.3 con i seguenti codici:

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256

Nota

Per utilizzare TLS 1.3, è necessario abilitarlo sul listener sulla destinazione.

Solo il traffico in entrata e in uscita che passa attraverso l'agente Amazon ECS è crittografato.

Controlli dell'integrità di Service Connect e Application Load Balancer

È possibile utilizzare Service Connect con i controlli dell'integrità di Application Load Balancer e la crittografia TLS 1.3.

Configurazione di Application Load Balancer

Configurare l'Application Load Balancer con le impostazioni seguenti:

Configura un listener TLS con una politica di sicurezza TLS 1.3 (come `Policy- -1-2-2021-06`ELBSecurity). TLS13 Per ulteriori informazioni, consultare Security policies for your Application Load Balancer.
Creare un gruppo di destinazione con le seguenti impostazioni:
- Impostare il protocollo su HTTPS
- Allegare il gruppo di destinazione al listener TLS
- Configurare la porta di controllo dell'integrità in modo tale che corrisponda alla porta del container del servizio Service Connect

Configurazione di Service Connect

Configurare un servizio con le seguenti impostazioni:

Configurare il servizio per utilizzare la modalità di rete awsvpc, poiché la modalità di rete bridge non è supportata.
Abilita Service Connect per il servizio.
Impostare la configurazione del bilanciatore del carico con le seguenti impostazioni:
- Specificare il gruppo di destinazione configurato per l'Application Load Balancer
- Impostare la porta del container in modo che corrisponda a quella del servizio Service Connect TLS
Non impostare ingressPortOverride per il servizio. Per ulteriori informazioni, consulta il riferimento ServiceConnectServiceall'API di Amazon Elastic Container Service.

Considerazioni

Considerare quanto segue durante l'utilizzo di Application Load Balancer, TLS e Service Connect:

Utilizzare la modalità di rete awsvpc anziché la modalità di rete bridge per i controlli dell'integrità HTTPS quando si usa Service Connect con crittografia TLS. I controlli dell'integrità HTTP continueranno a funzionare con la modalità bridge.
Configurare la porta di controllo dell'integrità del gruppo di destinazione in modo che corrisponda alla porta del container del servizio Service Connect, non alla porta HTTPS predefinita (443).

AWS Autorità di certificazione privata certificati e Service Connect

È necessario disporre del ruolo IAM dell'infrastruttura. Per ulteriori informazioni su questo ruolo, consultare Amazon ECS infrastructure IAM role.

AWS Autorità di certificazione privata modalità per Service Connect

AWS Autorità di certificazione privata può funzionare in due modalità: generica e di breve durata.

Generica: certificati che possono essere configurati con qualsiasi data di scadenza.
Di breve durata: certificati con una validità massima di sette giorni.

Sebbene Amazon ECS supporti entrambe le modalità, consigliamo di utilizzare certificati di breve durata. Per impostazione predefinita, i certificati ruotano ogni cinque giorni e l'esecuzione in modalità di breve durata offre risparmi significativi sui costi rispetto agli usi generici.

Service Connect non supporta la revoca dei certificati e sfrutta invece certificati di breve durata con rotazione frequente dei certificati. Si dispone dell'autorità per modificare la frequenza di rotazione, disabilitare o eliminare i segreti utilizzando la rotazione gestita in Secrets Manager, ma ciò può comportare le seguenti possibili conseguenze.

Frequenza di rotazione più breve ‐ Una frequenza di rotazione più breve comporta costi più elevati a AWS Private CA causa di Secrets Manager AWS KMS e Amazon EC2 Auto Scaling che sperimentano un maggiore carico di lavoro per la rotazione.
Frequenza di rotazione più lunga: le comunicazioni delle applicazioni hanno esito negativo se la frequenza di rotazione supera i sette giorni.
Eliminazione del segreto: l'eliminazione del segreto comporta un errore di rotazione e influisce sulle comunicazioni con le applicazioni dei clienti.

Se la rotazione dei segreti ha esito negativo, viene pubblicato un evento RotationFailed in AWS CloudTrail. Puoi anche impostare un CloudWatch allarme per. RotationFailed

Importante

Non aggiungere regioni di replica ai segreti. In questo modo si impedisce ad Amazon ECS di eliminare il segreto, poiché Amazon ECS non dispone dell'autorizzazione per rimuovere le regioni dalla replica. Se la replica è stata già aggiunta, eseguire il comando riportato di seguito.


aws secretsmanager remove-regions-from-replication \
 --secret-id SecretId \
 --remove-replica-regions region-name

Autorità di certificazione subordinate

È possibile importare qualsiasi certificato AWS Private CA, root o subordinato, a Service Connect TLS per emettere certificati di entità finale per i servizi. L'emittente fornito viene considerato firmatario e radice di attendibilità ovunque. È possibile emettere certificati di entità finale per diverse parti dell'applicazione da diversi subordinati. CAs Quando utilizzi AWS CLI, fornisci l'Amazon Resource Name (ARN) della CA per stabilire la catena di fiducia.

Autorità di certificazioneon-premises

Per utilizzare la CA on-premises, è necessario creare e configurare una CA subordinata in AWS Autorità di certificazione privata. Ciò garantisce che tutti i certificati TLS emessi per i carichi di lavoro di Amazon ECS condividano la catena di attendibilità con i carichi di lavoro eseguiti on-premises e siano in grado di connettersi in modo sicuro.

Importante

Aggiungi il tag richiesto AmazonECSManaged : true nel tuo AWS Private CA.

Infrastructure as code (IaC)

Quando si utilizza Service Connect TLS con gli strumenti Infrastructure as Code (IaC), è importante configurare correttamente le dipendenze per evitare problemi, come i servizi bloccati nel drenaggio. La AWS KMS chiave, se fornita, il ruolo IAM e AWS Private CA le dipendenze devono essere eliminati dopo il servizio Amazon ECS.

Se lo spazio dei nomi utilizzato per Service Connect è uno spazio dei nomi condiviso, puoi scegliere di utilizzare una risorsa condivisa. AWS Private CA Per ulteriori informazioni, consultare Attach a policy for cross-account access nella Guida per l'utente di AWS Autorità di certificazione privata .

Service Connect e Secrets Manager

Quando si utilizza la crittografia Amazon ECS Service Connect with TLS, il servizio interagisce con Secrets Manager nei seguenti modi:

Service Connect utilizza il ruolo di infrastruttura fornito per creare segreti all'interno di Secrets Manager. Questi segreti vengono utilizzati per archiviare le chiavi private associate ai certificati TLS per crittografare il traffico tra i servizi di Service Connect.

avvertimento

La creazione e la gestione automatiche di questi segreti da parte di Service Connect semplificano il processo di implementazione della crittografia TLS per i servizi. Tuttavia, è importante essere consapevoli delle potenziali implicazioni per la sicurezza. Altri ruoli IAM con accesso in lettura a Secrets Manager potrebbero essere in grado di accedere a questi segreti creati automaticamente. Ciò potrebbe esporre materiale crittografico sensibile a soggetti non autorizzati, se i controlli di accesso non sono configurati correttamente.

Per mitigare questo rischio, seguire queste best practice:

Gestire e limitare con attenzione l'accesso a Secrets Manager, in particolare per i segreti creati da Service Connect.
Verificare regolarmente i ruoli IAM e le relative autorizzazioni per garantire il rispetto del principio del privilegio minimo.

Quando si concede l'accesso in lettura a Secrets Manager, valutare la possibilità di escludere le chiavi private TLS create da Service Connect. Puoi farlo utilizzando una condizione nelle tue policy IAM per escludere i segreti ARNs che corrispondono allo schema:


"arn:aws:secretsmanager:::secret:ecs-sc!"

Un esempio di policy IAM che nega l'operazione GetSecretValue a tutti i segreti con il prefisso ecs-sc!:

Nota

Questo è un esempio generale e potrebbe essere necessario modificarlo in base al caso d'uso specifico e alla configurazione AWS dell'account. Testare sempre attentamente le policy IAM per assicurarsi che forniscano l'accesso previsto mantenendo al contempo la sicurezza.

Comprendendo come Service Connect interagisce con Secrets Manager, si può gestire meglio la sicurezza dei servizi Amazon ECS sfruttando al contempo i vantaggi della crittografia TLS automatica.

Service Connect e AWS Key Management Service

È possibile utilizzare AWS Key Management Serviceper crittografare e decrittografare le risorse Service Connect. AWS KMS è un servizio gestito AWS in cui è possibile creare e gestire chiavi crittografiche per proteggere i dati.

Quando si utilizza AWS KMS con Service Connect, è possibile scegliere di utilizzare una chiave di AWS proprietà che AWS gestisca per conto proprio oppure scegliere una AWS KMS chiave esistente. Puoi anche creare una nuova AWS KMS chiave da usare.

Fornire la propria chiave di crittografia

Puoi fornire i tuoi materiali chiave oppure puoi utilizzare un archivio di chiavi esterno tramite AWS Key Management Service Importa la tua chiave in AWS KMS, quindi specificare l'Amazon Resource Name (ARN) di quella chiave in Amazon ECS Service Connect.

Di seguito è riportato un esempio AWS KMS di policy. Sostituisci i user input valori con i tuoi.

Per ulteriori informazioni sulle policy della chiave, consultare Creating a key policy nella Guida per gli sviluppatori di AWS Key Management Service .

Nota

Service Connect supporta solo chiavi di crittografia AWS KMS simmetriche. Non è possibile utilizzare nessun altro tipo di AWS KMS chiave per crittografare le risorse Service Connect. Per informazioni su come determinare se una AWS KMS chiave è una chiave di crittografia simmetrica, consulta Identificare le chiavi KMS asimmetriche.

Per ulteriori informazioni sulle chiavi di crittografia AWS Key Management Service simmetriche, consulta Chiavi di crittografia simmetriche nella Guida per gli sviluppatori. AWS KMS AWS Key Management Service

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Abilitazione dei log di accesso

Abilitazione di TLS per Service Connect