Caratteristiche di configurazione errate per i servizi Amazon ECS Caratteristiche di vulnerabilità per i servizi Amazon ECS

Correzione delle esposizioni per i servizi Amazon ECS

AWS Security Hub può generare risultati sull'esposizione per i servizi Amazon Elastic Container Service (Amazon ECS).

Il servizio Amazon ECS coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione Risorse dei dettagli del risultato. È possibile recuperare questi dettagli delle risorse sulla console di Security Hub o a livello di codice con il GetFindingsV2funzionamento dell'API CSPM di Security Hub.

Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.

Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.

Nota

Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS

Indice

Caratteristiche di configurazione errate per i servizi Amazon ECS

Di seguito sono riportate le caratteristiche di errata configurazione dei servizi Amazon ECS e le procedure di correzione suggerite.

Il servizio Amazon ECS utilizza una definizione di attività configurata con privilegi elevati.

I container Amazon ECS in esecuzione con privilegi elevati hanno funzionalità simili a quelle del sistema host, consentendo potenzialmente l'accesso alle risorse dell'host e ad altri contenitori. Questa configurazione aumenta il rischio che un container compromesso possa essere utilizzato per accedere o modificare risorse al di fuori dell'ambito previsto, con possibile fuga dal container, accesso non autorizzato all'host sottostante e violazioni che interessano altri contenitori sullo stesso host. In base ai principi di sicurezza standard, si AWS consiglia di concedere i privilegi minimi, il che significa che si concedono solo le autorizzazioni necessarie per eseguire un'attività.

Rivedi e modifica la definizione dell'attività

Nell'esposizione, identificare l'ARN della definizione dell'attività. Apri la definizione dell'attività nella console Amazon ECS. Nella definizione dell'attività, cerca il flag privilegiato impostato su true nelle definizioni del contenitore. Se la modalità privilegiata non è richiesta, crea una nuova revisione della definizione dell'attività senza il flag privilegiato. Se è richiesta la modalità privilegiata, prendete in considerazione la possibilità di configurare il contenitore per utilizzare un file system di sola lettura per impedire modifiche non autorizzate.

Il servizio Amazon ECS utilizza una definizione di attività che consente ai contenitori di accedere ai file system root.

I contenitori Amazon ECS con accesso al filesystem root dell'host possono potenzialmente leggere, modificare o eseguire file critici sul sistema host. Questa configurazione aumenta il rischio che un contenitore compromesso possa essere utilizzato per accedere o modificare risorse al di fuori dell'ambito previsto, esponendo potenzialmente dati sensibili sul file system host. Seguendo i principi di sicurezza standard, si AWS consiglia di concedere i privilegi minimi, il che significa che si concedono solo le autorizzazioni necessarie per eseguire un'attività.

Rivedi e modifica i contenitori con accesso al file system host

Nel rilevamento dell'esposizione, identificare l'ARN della definizione dell'attività. Apri la definizione dell'attività nella console Amazon ECS. Cerca la sezione dei volumi nella definizione dell'attività che definisce le mappature dei percorsi degli host. Esamina la definizione dell'attività per determinare se l'accesso al file system host è necessario per la funzionalità del contenitore. Se non è richiesto l'accesso al file system host, create una nuova revisione della definizione del task e rimuovete tutte le definizioni di volume che utilizzano percorsi host. Se è richiesto l'accesso al file system host, prendete in considerazione la possibilità di configurare il contenitore per utilizzare un file system di sola lettura per evitare modifiche non autorizzate.

Il servizio Amazon ECS utilizza una definizione di attività configurata per condividere lo spazio dei nomi di processo di un host.

I contenitori Amazon ECS in esecuzione con namespace esposti possono potenzialmente accedere alle risorse del sistema host e ad altri namespace di container. Questa configurazione potrebbe consentire a un contenitore compromesso di superare il limite di isolamento, il che potrebbe portare all'accesso a processi, interfacce di rete o altre risorse al di fuori dell'ambito previsto. Uno spazio dei nomi PID (Process ID) fornisce la separazione tra i processi. Impedisce la visibilità dei processi di sistema e ne consente PIDs il riutilizzo, incluso il PID 1. Se lo spazio dei nomi PID dell'host è condiviso con i contenitori, consentirebbe ai contenitori di visualizzare tutti i processi sul sistema host. Ciò riduce i vantaggi dell'isolamento a livello di processo tra l'host e i contenitori. Questi fattori potrebbero portare all'accesso non autorizzato ai processi sull'host stesso, inclusa la possibilità di manipolarli e terminarli. Seguendo i principi di sicurezza standard, AWS consiglia di mantenere un adeguato isolamento dello spazio dei nomi per i contenitori.

Aggiorna le definizioni delle attività con namespace esposti

Apri la scheda Risorse dell'esposizione, identifica la definizione dell'attività con lo spazio dei nomi esposto. Apri la definizione dell'attività nella console Amazon ECS. Cerca le impostazioni PIDMode con il valore host, che condividerebbe i namespace degli ID del processo con l'host. Rimuovi le impostazioni di PidMode: host dalle definizioni delle attività per garantire che i contenitori funzionino con il corretto isolamento dello spazio dei nomi.

Il servizio Amazon ECS utilizza una definizione di attività configurata con credenziali in chiaro nelle variabili di ambiente.

I contenitori Amazon ECS con credenziali in chiaro nelle variabili di ambiente espongono informazioni di autenticazione sensibili che potrebbero essere compromesse se un utente malintenzionato accede alla definizione dell'attività, all'ambiente del contenitore o ai log del contenitore. Ciò crea un rischio significativo per la sicurezza, poiché le credenziali trapelate potrebbero essere utilizzate per accedere ad altri servizi o risorse. AWS

Sostituisci le credenziali in chiaro

Nel rilevamento dell'esposizione, identificate la definizione dell'attività con credenziali in chiaro. Apri la definizione dell'attività nella console Amazon ECS. Cerca le variabili di ambiente nella definizione del contenitore che contengono valori sensibili come chiavi di AWS accesso, password del database o token API.

Considerate le seguenti alternative per passare le credenziali:

Invece di utilizzare le chiavi di AWS accesso, utilizza i ruoli di esecuzione delle attività e i ruoli di attività IAM per concedere le autorizzazioni ai contenitori.
Memorizza le credenziali come segreti AWS Secrets Manager e fai riferimento ad esse nella definizione dell'attività.

Aggiornare le definizioni dell'attività

Crea una nuova revisione della definizione dell'attività che gestisca in modo sicuro le credenziali. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.

Il servizio Amazon ECS ha un gruppo di sicurezza aperto

I gruppi di sicurezza fungono da firewall virtuali per le attività di Amazon ECS volte a controllare il traffico in entrata e in uscita. I gruppi di sicurezza aperti, che consentono l'accesso illimitato da qualsiasi indirizzo IP, possono esporre i contenitori ad accessi non autorizzati, aumentando il rischio di esposizione a strumenti di scansione automatizzati e attacchi mirati. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso dei gruppi di sicurezza a indirizzi IP e porte specifici.

Rivedi le regole del gruppo di sicurezza e valuta la configurazione corrente

Apri la risorsa per Amazon ECS Security Group. Valuta quali porte sono aperte e accessibili da ampi intervalli di indirizzi IP, ad esempio(0.0.0.0/0 or ::/0).

Modifica le regole del gruppo di sicurezza

Modifica le regole del gruppo di sicurezza per limitare l'accesso a intervalli o indirizzi IP affidabili specifici. Quando aggiorni le regole del gruppo di sicurezza, prendi in considerazione la possibilità di separare i requisiti di accesso per i diversi segmenti di rete creando regole per ogni intervallo IP di origine richiesto o limitando l'accesso a porte specifiche.

Modifica le regole dei gruppi di sicurezza

Considerate le seguenti opzioni per metodi di accesso alternativi:

Session Manager fornisce un accesso sicuro alla shell alle tue EC2 istanze Amazon senza la necessità di porte in entrata, gestione di chiavi SSH o manutenzione di host bastion.
NACLs forniscono un ulteriore livello di sicurezza a livello di sottorete. A differenza dei gruppi di sicurezza, NACLs sono prive di stato e richiedono la definizione esplicita di regole in entrata e in uscita.

Il servizio Amazon ECS dispone di indirizzi IP pubblici

I servizi Amazon ECS con indirizzi IP pubblici assegnati alle loro attività sono accessibili direttamente da Internet. Sebbene ciò possa essere necessario per servizi che devono essere disponibili al pubblico, aumenta la superficie di attacco e il potenziale di accesso non autorizzato.

Identifica i servizi con indirizzi IP pubblici

Nel rilevamento dell'esposizione, identifica il servizio Amazon ECS a cui sono assegnati indirizzi IP pubblici alle sue attività. Cerca l'assignPublicIpimpostazione con il valore di ENABLED nella configurazione del servizio.

Aggiornare le definizioni dell'attività

Crea una nuova revisione della definizione dell'attività che disabiliti gli indirizzi IP pubblici. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.

Implementa modelli di accesso alla rete privata

Per le istanze che eseguono applicazioni Web, prendi in considerazione l'utilizzo di un Load Balancer (LB). LBs può essere configurato per consentire l'esecuzione delle istanze in sottoreti private mentre LB viene eseguito in una sottorete pubblica e gestisce il traffico Internet.

Il servizio Amazon ECS utilizza una definizione di attività configurata con la modalità di rete host abilitata.

I contenitori Amazon ECS in esecuzione con la modalità di rete host condividono lo spazio dei nomi di rete con l'host, consentendo l'accesso diretto alle interfacce di rete, alle porte e alle tabelle di routing dell'host. Questa configurazione aggira l'isolamento di rete fornito dai container, esponendo potenzialmente i servizi in esecuzione sul contenitore direttamente alle reti esterne e consentendo ai contenitori di modificare le impostazioni della rete host. Seguendo i principi di sicurezza standard, AWS consiglia di mantenere un adeguato isolamento di rete per i contenitori.

Disattiva la modalità di rete dell'host

Nel rilevamento dell'esposizione, identifica la definizione dell'attività con la modalità di rete host. Apri la definizione dell'attività nella console Amazon ECS. Cerca l'impostazione NetworkMode con il valore host nella definizione dell'attività.

Considerate le seguenti opzioni per disabilitare la modalità di rete host:

La modalità awsvpc di rete offre il massimo livello di isolamento della rete assegnando a ciascuna attività la propria elastic network interface.
La modalità bridge di rete fornisce l'isolamento e consente al contempo la mappatura delle porte per esporre specifiche porte container all'host.

Aggiornare le definizioni dell'attività

Crea una nuova revisione della definizione dell'attività con la configurazione della modalità di rete aggiornata. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.

Il ruolo IAM associato al servizio Amazon ECS ha una politica di accesso amministrativo.

I ruoli IAM con politiche di accesso amministrativo collegate alle attività di Amazon ECS forniscono autorizzazioni ampie che superano quelle normalmente richieste per il funzionamento dei container. Questa configurazione aumenta il rischio che un contenitore compromesso possa essere utilizzato per accedere o modificare le risorse in tutto l'ambiente. AWS Seguendo i principi di sicurezza standard, AWS consiglia di implementare l'accesso con privilegi minimi concedendo solo le autorizzazioni necessarie per il funzionamento di un'attività.

Rivedi e identifica le politiche amministrative

Nel Resource ID, identifica il nome del ruolo IAM. Vai alla dashboard IAM e seleziona il ruolo identificato. Rivedi la politica di autorizzazione allegata al ruolo IAM. Se la policy è una policy AWS gestita, cercaAdministratorAccess. Altrimenti, nel documento sulla politica, cerca le dichiarazioni che contengono le dichiarazioni "Effect": "Allow", "Action": "*", and "Resource": "*" insieme.

Implementazione dell'accesso con privilegi minimi

Sostituite le politiche amministrative con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'istanza. Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre applicazioni che utilizzano il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM, quindi associa il nuovo ruolo IAM all'istanza.

Considerazioni sulla configurazione sicura

Se per l'istanza sono necessarie autorizzazioni amministrative a livello di servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:

L'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse.
La configurazione degli elementi delle condizioni consente di limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età dell'MFA.

Aggiornare le definizioni dell'attività

Crea una nuova revisione della definizione del task che faccia riferimento ai ruoli IAM nuovi o aggiornati. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.

Il ruolo IAM associato al servizio ECS ha una policy di amministrazione del servizio

Le policy di amministrazione dei servizi forniscono alle attività e ai servizi di Amazon ECS le autorizzazioni per eseguire tutte le azioni all'interno di servizi specifici AWS . Queste politiche includono in genere le autorizzazioni necessarie per la funzionalità delle attività di Amazon ECS. Fornire un ruolo IAM con una policy di amministrazione del servizio per le attività di Amazon ECS, anziché il set minimo di autorizzazioni necessarie, può aumentare la portata di un attacco se un container viene compromesso. Seguendo i principi di sicurezza standard, AWS consiglia di concedere i privilegi minimi, il che significa concedere solo le autorizzazioni necessarie per eseguire un'attività.

Rivedi e identifica le politiche amministrative

Nel Resource ID, identifica il ruolo dell'attività di Amazon ECS e i nomi dei ruoli di esecuzione. Vai alla dashboard IAM e seleziona i ruoli identificati. Rivedi le politiche di autorizzazione associate a questi ruoli IAM. Cerca le dichiarazioni politiche che garantiscono l'accesso completo ai servizi (ad esempio,"s3": "*", "ecr": "*"). Per istruzioni sulla modifica delle policy IAM, consulta Modifica delle policy IAM nella IAM User Guide.

Implementazione dell'accesso con privilegi minimi

Sostituisci le politiche di amministrazione del servizio con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento delle attività di Amazon ECS. Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre applicazioni che utilizzano il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM, quindi associa il nuovo ruolo IAM all'istanza.

Considerazioni sulla configurazione sicura

Se sono necessarie autorizzazioni amministrative a livello di servizio per le attività di Amazon ECS, valuta la possibilità di implementare questi controlli di sicurezza aggiuntivi:

Condizioni IAM: configura gli elementi delle condizioni per limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come endpoint VPC o cluster Amazon ECS specifici. Per ulteriori informazioni, consulta Utilizzare le condizioni nelle politiche IAM per limitare ulteriormente l'accesso nella Guida per l'utente IAM.
Limiti di autorizzazione: stabilisci le autorizzazioni massime che un ruolo può avere, fornendo barriere per i ruoli con accesso amministrativo. Per ulteriori informazioni, consulta Utilizzare i limiti delle autorizzazioni per delegare la gestione delle autorizzazioni all'interno di un account nella Guida per l'utente IAM.

Aggiornare le definizioni dell'attività

Caratteristiche di vulnerabilità per i servizi Amazon ECS

Di seguito sono riportati i tratti di vulnerabilità per Amazon ECS e le procedure di correzione suggerite.

Il servizio Amazon ECS dispone di un contenitore con vulnerabilità software sfruttabili in rete con un'elevata probabilità di sfruttamento

Comprendi l'esposizione

I risultati delle vulnerabilità dei pacchetti identificano i pacchetti software presenti AWS nell'ambiente che sono esposti a vulnerabilità ed esposizioni comuni (). CVEs Gli aggressori possono sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Le immagini dei contenitori ECR possono contenere rilevazioni di vulnerabilità dei pacchetti.
Correggi l'esposizione
1. Aggiorna la versione del pacchetto
  
  Esamina la rilevazione della vulnerabilità del pacchetto per l'immagine del tuo contenitore ECR. Aggiorna la versione del pacchetto come suggerito da Amazon Inspector. Per ulteriori informazioni, consulta Visualizzazione dei dettagli relativi ai risultati di Amazon Inspector nella Amazon Inspector User Guide. La sezione Remediation dei dettagli di ricerca nella console Amazon Inspector indica quali comandi è possibile eseguire per aggiornare il pacchetto.
2. Aggiorna le immagini dei contenitori di base
  
  Ricostruisci e aggiorna regolarmente le immagini dei contenitori di base per mantenerli aggiornati. Quando ricostruisci un'immagine, non includere componenti non necessari per ridurre la superficie di attacco. Per istruzioni su come ricostruire l'immagine di un contenitore, consulta Ricostruire spesso le immagini.

Il servizio Amazon ECS dispone di un contenitore con vulnerabilità software

I pacchetti software installati sui contenitori Amazon ECS possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs Le vulnerabilità a bassa priorità rappresentano punti deboli di sicurezza con gravità o sfruttabilità inferiori rispetto alle vulnerabilità ad alta priorità. Sebbene queste vulnerabilità rappresentino un rischio meno immediato, gli aggressori possono comunque sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi.

Aggiorna le immagini dei container interessati

Consultate la sezione Riferimenti nella scheda Vulnerabilità della caratteristica. La documentazione del fornitore può includere indicazioni specifiche sulla correzione.

Applica la riparazione appropriata seguendo queste linee guida generali:

Aggiorna le immagini dei contenitori per utilizzare le versioni con patch dei pacchetti interessati.
Aggiorna le dipendenze interessate nell'applicazione alle versioni sicure più recenti.

Dopo aver aggiornato l'immagine del contenitore, inseriscila nel registro dei contenitori e aggiorna la definizione dell'attività Amazon ECS per utilizzare la nuova immagine.

Considerazioni future

Per rafforzare ulteriormente il livello di sicurezza delle immagini dei container, prendi in considerazione l'idea di seguire le best practice di Amazon ECS per le attività e la sicurezza dei container. Amazon Inspector può essere configurato per eseguire la scansione automatica dei CVEs contenitori. Amazon Inspector può anche essere integrato con Security Hub per le riparazioni automatiche. Prendi in considerazione l'implementazione di un programma di patch regolare utilizzando Systems Manager Maintenance Windows per ridurre al minimo le interruzioni dei container.

Il servizio Amazon ECS dispone di un contenitore con un End-Of-Life sistema operativo

Il contenitore Amazon ECS si basa su un sistema end-of-life operativo che non è più supportato o gestito dallo sviluppatore originale. Ciò espone il contenitore a vulnerabilità di sicurezza e potenziali attacchi. Quando i sistemi operativi arrivano end-of-life, i fornitori in genere smettono di rilasciare nuovi avvisi di sicurezza. Gli avvisi di sicurezza esistenti possono anche essere rimossi dai feed dei fornitori. Di conseguenza, Amazon Inspector potrebbe potenzialmente smettere di generare risultati noti CVEs, creando ulteriori lacune nella copertura di sicurezza.

Consulta i sistemi operativi fuori produzione nella Amazon Inspector User Guide per informazioni sui sistemi operativi che hanno raggiunto la fine del ciclo di vita che possono essere rilevati da Amazon Inspector.

Esegui l'aggiornamento a una versione del sistema operativo supportata

Si consiglia l'aggiornamento a una versione supportata del sistema operativo. Nel rilevamento dell'esposizione, aprite la risorsa per accedere alla risorsa interessata. Prima di aggiornare la versione del sistema operativo nell'immagine del contenitore, consulta le versioni disponibili in Supported Operating Systems nella Amazon Inspector User Guide per un elenco delle versioni del sistema operativo attualmente supportate. Dopo aver aggiornato l'immagine del contenitore, inseriscila nel registro dei contenitori e aggiorna la definizione dell'attività Amazon ECS per utilizzare la nuova immagine.

Il servizio Amazon ECS dispone di un contenitore con pacchetti software dannosi

I pacchetti dannosi sono componenti software che contengono codice dannoso progettato per compromettere la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati. I pacchetti dannosi rappresentano una minaccia attiva e critica per le immagini dei container Amazon ECS, poiché gli aggressori possono eseguire codice dannoso automaticamente senza sfruttare una vulnerabilità. Seguendo le migliori pratiche di sicurezza, AWS consiglia di rimuovere i pacchetti dannosi per proteggere i contenitori da potenziali attacchi.

Rimuovi i pacchetti dannosi

Esamina i dettagli del pacchetto dannoso nella sezione Riferimenti della scheda Vulnerabilità della caratteristica per comprendere la minaccia. Rimuovi i pacchetti dannosi identificati dalle immagini del contenitore, quindi ricostruiscili. Per ulteriori informazioni, consulta ContainerDependency nel AWS Riferimento sull’API di Amazon ECS. Dopo aver aggiornato l'immagine del contenitore, inseriscila nel registro dei contenitori e aggiorna la definizione dell'attività Amazon ECS per utilizzare la nuova immagine. Per ulteriori informazioni, consulta Aggiornare una definizione di attività Amazon ECS utilizzando la console nella AWS Amazon ECS Developer Guide.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Riparazione delle esposizioni per istanze EC2

Correzione delle esposizioni per i cluster Amazon EKS