Best practice di crittografia per Amazon ECS

Amazon Elastic Container Service (Amazon ECS) è un servizio rapido e scalabile di gestione dei container che ti aiuta a eseguire, arrestare e gestire container in un cluster.

Con Amazon ECS, puoi crittografare i dati in transito utilizzando uno dei seguenti approcci:

Crea una mesh di servizi. Utilizzando AWS App Mesh, configura le connessioni TLS tra i proxy Envoy distribuiti e gli endpoint mesh, come nodi virtuali o gateway virtuali. È possibile utilizzare certificati TLS forniti da o certificati forniti dal cliente. AWS Autorità di certificazione privata Per ulteriori informazioni e procedure dettagliate, consulta Abilitare la crittografia del traffico tra i servizi in AWS App Mesh uso AWS Certificate Manager (ACM) o i certificati forniti dal cliente (post sul blog).AWS
Se supportato, usa Nitro Enclaves.AWS AWS Nitro Enclaves è una funzionalità di Amazon EC2 che consente di creare ambienti di esecuzione isolati, chiamati enclavi, da istanze Amazon EC2. Sono progettati per proteggere i dati più sensibili. Inoltre, ACM for Nitro Enclaves consente di utilizzare SSL/TLS certificati pubblici e privati con applicazioni Web e server Web in esecuzione su istanze Amazon EC2 con Nitro Enclaves. AWS Per ulteriori informazioni, consulta AWS Nitro Enclaves — Isolated EC2 Environments to Process Confidential Data (post del blog).AWS
Utilizza il protocollo SNI (Server Name Indication) con Application Load Balancers. È possibile distribuire più applicazioni dietro un singolo listener HTTPS per un Application Load Balancer. Ogni ascoltatore dispone del proprio certificato TLS. È possibile utilizzare certificati forniti da ACM oppure utilizzare certificati autofirmati. Sia Application Load Balancer che Network Load Balancer supportano SNI. Per ulteriori informazioni, consulta Application Load Balancer Now Support Multiple TLS Certificates with Smart Selection Using SNI (AWS post del blog).
Per una maggiore sicurezza e flessibilità, utilizza AWS Autorità di certificazione privata per distribuire un certificato TLS con il task Amazon ECS. Per ulteriori informazioni, consulta Mantenimento di TLS fino al contenitore, parte 2: Utilizzo AWS Private CA (AWS post del blog).
Implementa il TLS reciproco (mTLS) in App Mesh utilizzando il Secret discovery service (Envoy) o i certificati ospitati in ACM (). GitHub

Prendi in considerazione le seguenti best practice di crittografia per questo servizio:

Laddove tecnicamente fattibile, per una maggiore sicurezza, configura Endpoint VPC dell'interfaccia di Amazon ECS in AWS PrivateLink. L'accesso a questi endpoint tramite una connessione VPN crittografa i dati in transito.
Archivia in modo sicuro materiali sensibili, come chiavi API o credenziali del database. È possibile memorizzarli come parametri crittografati in Parameter Store, una funzionalità di AWS Systems Manager. Tuttavia, ti consigliamo di utilizzarlo Gestione dei segreti AWS perché questo servizio ti consente di ruotare automaticamente i segreti, generare segreti casuali e condividerli tra loro. Account AWS
Se gli utenti o le applicazioni del tuo data center o una terza parte esterna sul Web effettuano richieste API HTTPS dirette a Servizi AWS, firma tali richieste con credenziali di sicurezza temporanee ottenute da AWS Security Token Service ()AWS STS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Amazon ECR

Amazon EFS