在 Amazon ECS 和 Amazon Fargate 上保护容器化工作负载

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/CON325-Securing_containerized_workloads_on_Amazon_ECS_and_AWS_Fargate-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 本论坛概述了如何使用 [Amazon ECS](https://aws.amazon.com/cn/ecs/?trk=cndc-detail) 与亚马逊云科技云端集成，使用亚马逊云科技安全服务，以及 Amazon Fargate 的单租户架构的好处，以帮助您安全地运行容器化工作负载。深入了解 Amazon Fargate 的安全考虑事项，并发现使用 Amazon Faggate 的最新功能改进安全态势以应对潜在威胁和事件的方法。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1400字，阅读时间大约是7分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 演讲者通过进行快速投票调查观众对保护云应用重要性的看法来开始了会议。众多与会者均表示，为了确保法规遵从性和认证，确保云应用程序的安全性是必要的。许多人还认同，保护云应用程序对于保护客户的个人可识别信息以及组织的知识产权和资产至关重要。绝大多数参与者都认为，安全应该成为任何企业的首要任务。 演讲者证实了，在亚马逊云科技（Amazon Web Services）中，安全也处于至高无上的地位。他保证说，安全被嵌入到为亚马逊弹性容器服务（[Amazon ECS](https://aws.amazon.com/cn/ecs/?trk=cndc-detail)）开发的每个功能中，并实施了严格的测试协议。 演讲者介绍自己是Spiros，亚马逊ECS和亚马逊云科技Fargate的产品经理。他是同事Yen的伙伴。他们计划讨论一些现有的和最近推出的亚马逊ECS和亚马逊云科技Fargate的安全功能。 Spiros通过一个假设的场景强调了云应用中安全的严重性。他警告说，即使员工离职后仍然保留访问凭证也可能导致严重的后果。例如，他说，一些最大的安全漏洞是通过在员工离开公司后没有从所有系统完全撤销其凭证而发生的。这表明了密切监控凭证和访问以防止未经授权的使用的重要性。 他解释说，虽然亚马逊云科技负责保护客户应用程序运行的基础设施，但客户需要关心云环境中应用程序和数据的安全。必须密切监控应用程序行为并了解资源消耗模式，以防止未授权使用所配置的资源并确保持续合规。此外，安全对于建立信任至关重要—— 对于将他们的个人数据交给组织保管的客户，以及与通过集成接口共享其知识产权的合作伙伴实体。 接下来，Spiros和Yen承诺将探讨一些现有的以及新推出的亚马逊云科技ECS和Fargate的安全特性。他们将展示最近宣布的与[Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail)的集成，以便对亚马逊云科技ECS和Fargate工作负载进行运行时威胁监控。为了帮助参加这次安全会议的与会者更好地理解，他们在周二的GuardDuty会议上将从安全管理员的角度提供概述。今天的讨论将展示亚马逊云科技ECS操作员的视角。 Spiros解释道，通过隔离计算资源，容器本身就具有很高的安全性。亚马逊云科技ECS支持两种部署模式：在EC2实例级别和Fargate任务级别。当使用亚马逊云科技ECS on EC2时，需要保护三个信任边界：操作系统内核、EC2实例本身和应用。由于唯一的访问点是单个任务级别，因此Fargate显著减少了潜在的攻击表面。任务的隔离防止了横向穿越其他工作负载的可能性。 他在会上列举了每层技术栈可用的安全功能： 在操作系统和内核级别，客户可以通过定义安全组、网络ACL和容器实例的IAM角色来限制ECS代理权限。与亚马逊云科技PrivateLink的集成支持在ECS和VPC之间进行私有连接。这些措施可以保护基础操作系统和内核免受漏洞的侵害。 在任务级别，IAM角色可以将用户凭据和权限隔离到单个任务级别，以模仿Fargate的体验。专用网络接口也将网络隔离带到任务级别。任务执行角色定义任务运行所需的精确访问权限，只允许所需的操作。 在容器级别，可以注入用于凭证或证书的机密。可以根据需要添加或删除Linux能力。允许根访问的特权容器只有在绝对必要时才使用。资源限制可以防止可能影响其他容器的资源消耗过大的情况。Docker镜像扫描可以识别漏洞，而ECR自动处理镜像更新以保持最新。 在应用层面上，传输层的安全保护服务负责维护各服务之间的通信。基于标签的访问控制系统只允许授权的执行者进行操作。可观察性的功能（如日志记录、指标、追踪等）有助于监控应用的行为。 本周，亚马逊宣布推出了[Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail)运行时监控功能，这一功能适用于[Amazon ECS](https://aws.amazon.com/cn/ecs/?trk=cndc-detail)和亚马逊云科技的Fargate。对于还不熟悉的人，[Amazon GuardDuty](https://aws.amazon.com/cn/guardduty/?trk=cndc-detail)是亚马逊云科技提供的一款智能威胁检测服务，能够分析VPC流量日志、DNS日志以及CloudTrail事件等信息。这次的新集成将工作负载的运行时遥测数据纳入其中，使得GuardDuty能够在应用执行的过程中发现并阻止潜在威胁。这是针对亚马逊云科技Fargate的第一个运行时监控功能。早在今年早些时候，类似的功能已经被应用到了[Amazon EKS](https://aws.amazon.com/cn/eks/?trk=cndc-detail)上。如今，运行时监控已经扩展到了亚马逊云科技Fargate和Amazon EC2，使得客户可以在所有的主要亚马逊云科技计算选项上都开启威胁检测功能。 Spiros详细地解释了这个集成的工作原理。轻量级的GuardDuty代理会收集与应用活动相关的遥测数据，并将其转发到GuardDuty的服务端进行分析。通过先进的分析技术，系统可以识别出异常和潜在的威胁，并生成超过30个与运行时威胁相关的安全发现。客户可以直接在GuardDuty的控制台上查看这些发现，也可以将其路由到集成的服务，例如亚马逊云科技的安全中心（Security Hub）、亚马逊侦探（Detective）或者是合作伙伴的解决方案。这样可以让汇总后的发现结果得到进一步的分析和自动化的修复。 对于在EC2上运行的[Amazon ECS](https://aws.amazon.com/cn/ecs/?trk=cndc-detail)，可以使用亚马逊云科技的Systems Manager来部署代理，或者将其内置到AMI中。在亚马逊云科技的Fargate上，代理会从私有的ECR库中运行。如果使用了推荐的ECS托管执行角色，那么注入会自动发生，无需执行任何操作。否则，任务只需要有权限拉取图像即可。在这种情况下，不需要对任务定义进行任何的更改。VPC端点也会被自动处理，以确保远程监测数据的隐私得以保护。 这样的清晰的责任划分使得安全管理员能够轻松地启用这个功能，而ECS操作员在使用生产环境之前可以进行充分的测试和验证。演示过程强调了ECS操作员的使用体验。 演示的主要亮点包括： 部分1 - 在亚马逊云科技的Fargate上启用GuardDuty: - 已经验证过用于ECS运行时监控的账户设置已经启用。这个设置由GuardDuty管理，并且在配置GuardDuty运行时监控时会自动启用。 1. 将标签 "guardduty":"true" 添加到集群配置中，以实现GuardDuty集成。 2. 启用容器洞察功能，以监控资源使用情况。这将有助于了解GuardDuty代理容器的CPU、内存、网络和磁盘利用率。 3. 如果需要，更新ECR权限的任务执行角色。此举旨在确保Fargate任务能够从ECR仓库中提取GuardDuty镜像。 4. 启动新的Fargate任务，并观察GuardDuty容器是否已自动作为侧车注入。 5. 在集群、任务和容器级别监控指标。目前仅支持集群、服务和任务级别的指标。 6. 在容器级别查看性能日志，以分析GuardDuty容器的资源利用率。 7. 查看样本发现结果，以识别集群、任务和容器详细信息。这将有助于确定威胁来源。 第二部分：在[Amazon ECS](https://aws.amazon.com/cn/ecs/?trk=cndc-detail) EC2上启用GuardDuty 1. 为GuardDuty服务创建VPC端点，以便遥测数据不使用公共互联网。 2. 使用亚马逊系统管理器文档在EC2实例上安装代理。这可以自动化在队伍中的部署。 3. 选择使用来自S3存储桶的命令和脚本手动安装代理。这允许嵌入到AMI中。 4. 验证GuardDuty控制台上的覆盖实例。 5. 运行ECS任务并查看带有实例特定信息（如ID、类型、VPC、子网等）的发现结果。这提供了被压缩主机的上下文。 总之，通过在[Amazon ECS](https://aws.amazon.com/cn/ecs/?trk=cndc-detail)和Amazon Fargate上添加运行时监控，客户现在可以在整个亚马逊云科技计算服务中实现威胁检测功能，包括[Amazon ECS](https://aws.amazon.com/cn/ecs/?trk=cndc-detail)、Amazon Fargate、[Amazon EKS](https://aws.amazon.com/cn/eks/?trk=cndc-detail)和Amazon EC2。提供30天免费试用，让您亲自体验其优势。斯皮罗斯邀请与会者参观展览厅上的[Amazon ECS](https://aws.amazon.com/cn/ecs/?trk=cndc-detail)演示站，并尝试由Amazon Lambda驱动的服务器无忧意式咖啡吧。他要求每个人都通过活动移动应用程序分享反馈。两位演讲者感谢了观众，并表示愿意回答任何问题。 **下面是一些演讲现场的精彩瞬间：** 领导者向观众询问，他们是否认为保护云应用是合规的必要条件，许多人都表示赞同。  亚马逊云科技的EC2服务拥有三个信任边界：操作系统、实例和应用，这些都必须加以防护，以防止受到影响的映像、凭证、流量、消息和漏洞。  Fargate与GuardDuty实现了无缝集成，使得安全性的提升变得轻松便捷，无需ACS操作员进行任何操作。  领导者展示了安全管理员如何通过简单的点击操作并在经过适当测试后，轻松地在所有ECS工作负载上启用GuardDuty代理部署。  通过启用容器洞察，可以监控资源利用率并对来自容器运行时和基础设施的指标和日志进行分析。  在全新的GuardDuty发现页面上，可以找到详细的容器任务信息，这对于快速识别威胁非常有帮助。  领导者幽默地邀请观众观看在re:Invent会议上展示如何使用亚马逊云科技Lambda制作咖啡的演示。  ## 总结 亚马逊云科技近期为其[Amazon ECS](https://aws.amazon.com/cn/ecs/?trk=cndc-detail)和Fargate服务引入了一项强大新功能——GuardDuty运行时监控。这一功能使得客户能够在实时基础上检测容器化工作负载中的潜在威胁和异常行为。在re:Invent的主旨演讲中，详细介绍了启用GuardDuty运行时监控的三个主要优势：首先，它为客户提供了一种持续的容器行为可视性，以便迅速发现可能的威胁或配置错误。GuardDuty的轻量级代理会监控每个容器内的系统调用、网络连接和进程活动。其次，GuardDuty的[机器学习](https://aws.amazon.com/cn/machine-learning/?trk=cndc-detail)技术和威胁情报能力可以探测到诸如加密挖矿、命令注入或数据泄露等复杂攻击，而这些攻击仅依靠预先设定的规则是很难捕捉到的。客户可以访问GuardDuty的庞大威胁数据库。最后，GuardDuty简化了大范围启用运行时监控的过程，甚至在[无服务器](https://aws.amazon.com/cn/serverless/?trk=cndc-detail)容器环境中也是如此。代理会自动注入到Fargate的任务中，无需进行任何代码更改。对于EC2上的ECS，可以通过Systems Manager来进行安装。总的来说，GuardDuty运行时监控将企业级威胁检测引入了ECS和Fargate服务领域。这是整个亚马逊云计算栈上保护容器工作负载的一项重要进展。演讲者邀请与会者尝试为期30天的免费试用，亲身体验其带来的优势。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")