1 / 35

AWS 容器及无服务器化的安全考量

AWS 容器及无服务器化的安全考量. Agenda. AWS 容器及无服务器化的最新 进展 AWS 云原生的安全 架构 AWS 容器及无服务器 化的安全考量. 基础设施的演进. Low. High. Higher. Highest. On-Premises. Amazon EC2. Containers. AWS Lambda. 什么是无服务器计算 Serverless ?. 构建 和运行应用程序的时候不用考虑底层的服务器资源分配和管理 资源预配置和使用率 可靠性和容错 扩展性 运维和管理. AWS 无服务器 计算家族. AWS Lambda.

josephreed
Download Presentation

AWS 容器及无服务器化的安全考量

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. AWS容器及无服务器化的安全考量

  2. Agenda AWS容器及无服务器化的最新进展 AWS云原生的安全架构 AWS容器及无服务器化的安全考量

  3. 基础设施的演进 • Low • High • Higher • Highest • On-Premises • Amazon EC2 • Containers • AWS Lambda

  4. 什么是无服务器计算Serverless? 构建和运行应用程序的时候不用考虑底层的服务器资源分配和管理 资源预配置和使用率 可靠性和容错 扩展性 运维和管理

  5. AWS无服务器计算家族 AWS Lambda Compute Storage Database Amazon S3 AmazonDynamoDB AmazonAurora Serverless (coming soon) API Proxy Messaging Analytics AWS Fargate Amazon Kinesis Amazon API Gateway Amazon Athena Orchestration Monitoring and Debugging Edge Compute Amazon SQS Amazon SNS AWS Greengrass AWS Step Functions AWS X-Ray Lambda@Edge

  6. AWS容器生态系统

  7. Amazon ECS—Task & Service EC2 instances ECS Service TASK TASK LOAD BALANCER ecs agent Internet Container Container TASK TASK Amazon ECS ecs agent Agent Communication Service Container Container API TASK TASK CLUSTER MANAGEMENT ENGINE ecs agent LOAD BALANCER KEY/VALUE STORE Container Container

  8. Amazon ECS CLUSTER Subnet 3 Subnet 2 Subnet 1 172.31.3.0/24 172.31.2.0/24 172.31.1.0/24 FARGATE ECS Instance ECS Instance ECS Instance ECS Instance ECS Instance ECS Instance EC2 Notifications Web Shopping Cart Availability Zone #1 Availability Zone #2 Availability Zone #3

  9. AWS ECS 适用场景

  10. Amazon EKS 和开源 Kubernetes 一致体验 Upstream 保持和上游同步 支持企业生产级别的容器应用 按需和 AWS 服务无缝集成 自动升级打补丁

  11. AWS托管的高可用性方案3个可用区,3个主节点 EKSEndpoint Kubectl UnhealthyMaster Master Master AZ1 AZ1 AZ1 NewMaster

  12. Kubernetes网络 • 每个pod都有一个IP地址 • 容器看到的IP与其他人看到的IP相同 • Kubernetes通过插件的模式来实现网络解决方案(CNI)

  13. 主流的开源网络插件

  14. amazon-vpc-cni-k8s插件原理

  15. 安全 IAM VPC PrivateLink

  16. 安全策略 amazon-vpc-cni-k8s插件不支持NetworkPolicy。 EKS使用Calico实现NetworkPolicy虽然Calico本身就是CNI,但我们只会使用它的NetworkPolicy功能 Kubernetes网络策略强制执行网络安全规则 Calico是网络策略API的领导者 开源,活动的开发者(> 100个贡献者) Tigera提供商业支持

  17. Calico网络安全策略

  18. Kubectl使用IAM进行身份验证 1) Passes AWS Identity 2) Verifies AWS Identity Kubectl K8s API AWS Auth 4) K8s action allowed/denied 3) Authorizes AWS Identity with RBAC

  19. Agenda AWS容器及无服务器化的最新进展 AWS云原生的安全架构 AWS容器及无服务器化的安全考量

  20. 分担安全责任模型 客户数据 您: 基础设施上的所有项目 平台、应用程序、身份和权限管理 操作系统、网络和防火墙配置 客户端数据加密和数据完整性验证 服务器端加密(文件系统和/或数据) 网络流量保护(加密/完整性/身份标示) 共同努力:AWS和您 部署与管理 减少安全事务 AWS: 底层基础设施 计算 数据库 存储 AWS Networking Services 边缘站点 可用区/区域 AWS 全球基础设施

  21. AWS云采用框架——安全维度 我们定义了十个主题以构建云中安全维度,每个主题均有对应的最佳实践及适用的用户场景。企业通过反复迭代,最终在保证业务需求及灵活性的同时,提升整体安全成熟度。 安全视角 五大核心 五大延展 方针 安全持续集成与交付 合规性验证 自适应能力 配置及脆弱性分析 大数据安全 账号及权限管理 防御 监测 系统架构安全 响应 数据分级及保护 安全运维,监控及日志管理 事件响应及自动化

  22. AWS 安全解决方案 身份管理 侦测控制 基础设施安全 数据保护 事件响应 AWS Identity & Access Management (IAM) AWS MFA (Multi-Factor Authentication) AWS Organizations AWS Cognito AWS Directory Service AWS Single Sign-On AWS Key Management Service (KMS) AWS CloudHSM Amazon Macie Certificate Manager S3 Server Side Encryption Glacier Vault Lock AWS Config Rules AWS Lambda AWS CloudTrail AWS Config AmazonCloudWatch + Logs Amazon GuardDuty VPC Flow Logs Amazon EC2Systems Manager AWS Shield AWS Web Application Firewall (WAF) Amazon Inspector Amazon Virtual Private Cloud (VPC) + NACL EC2 Security Group

  23. AWS Identity and Access Management (IAM) 安全的控制对AWS服务和资源的访问 AWS Organizations 基于策略的多AWS账户的管理 Amazon Cognito 针对Web和移动应用提供用户注册、登录和访问控制 AWS Directory Service 在AWS上托管的Microsoft Active Directory AWS Single Sign-On集中管理对多个AWS账户和业务应用程序的单点登录(SSO) AWSMulti-Factor Authentication (MFA) 能够在用户名称和密码之外再额外增加一层保护 身份与访问管理 Identity & accessmanagement 跨AWS服务的用户权限和资源的定义、执行和审核

  24. AWS CloudTrail满足AWS账户的治理、合规性和运营/风险审计的要求 AWS Config记录并评估AWS资源的配置。 提供合规审计、安全分析,资源变更跟踪和故障排除等功能 Amazon CloudWatch在AWS上监控AWS的资源以及应用程序以收集指标、监控日志文件、设置警报并自动对变更做出响应 Amazon GuardDuty智能威胁检测和持续监控可保护用户的AWS账户和工作负载 VPC Flow Logs捕获VPC 中的网络接口有关的 IP 流量的信息。流日志数据存储在AmazonCloudWatch 日志中 侦测控制 在影响业务之前发现问题、改善安全态势、降低风险,更重要的是获得所需要的可性

  25. Amazon EC2 Systems Manager轻松配置和管理Amazon EC2和本地系统的操作系统补丁,创建安全系统映像并配置安全操作系统 AWS Shield在AWS上运行的可保护Web应用程序的托管DDoS保护服务 AWS Web Application Firewall (WAF)保护Web应用程序免受常见的Web漏洞攻击,确保可用性和安全性 Amazon Inspector自动化安全评估,以帮助改进部署在AWS上的应用程序的安全性和合规性 Amazon Virtual Private Cloud (VPC)配置一个逻辑隔离的AWS部分,可以使得AWS资源在所定义的虚拟网络中运行 基础设施安全 减少管理的任务增加AWS上的整体基础设施的隐私和控制

  26. AWS Key Management Service (KMS)轻松创建和控制用于加密数据的密钥 AWS CloudHSMAWS上的托管的硬件安全模块(HSM) Amazon Macie基于机器学习的安全服务,用于发现、分类和保护敏感数据 AWS Certificate Manager轻松配置、管理和部署用于AWS服务的SSL / TLS证书 Server Side Encryption这是一个灵活的、使用AWS托管密钥服务的数据加密选项,通过AWS KMS管理密钥或客户自己的密钥 数据保护 除了托管的的自动数据加密和管理服务之外, 还要更多的数据保护功能 (包括数据管理、数据安全以及加密密钥存储)

  27. AWS Config Rules创建规则以响应环境中发生的变化而采取自动化的措施,例如隔离资源,通过其它数据完善事件,或将配置恢复到已知良好的状态 AWS Lambda使用AWS的无服务器计算服务来运行代码,而无需配置或管理服务器,便于实现编程的自动化事件响应 意外响应 在事件发生期间,收集事件并回到已知的良好状态是响应计划的重要组成部分。AWS 提供了以下 实现此最佳实践的自动化方面的工具

  28. 使用安全组的多层体系结构 Web Layer Application Layer Database Layer Only 80 and 443 open to Internet Open access only to Web Layer and ssh open to management bastion Amazon EC2 Security Group Firewall By default, all ports are closed

  29. Internet gateway VPC NAT gateway VPC NAT gateway VPC NAT gateway Classic Load Balancer(s) Public Subnet Public Subnet Public Subnet Kubernetes Cluster State M M M EBS EBS EBS ASG ASG ASG W W W Private Subnet Private Subnet Private Subnet Availability Zone Availability Zone Availability Zone

  30. Agenda AWS容器及无服务器化的最新进展 AWS云原生的安全架构 AWS容器及无服务器化的安全考量

  31. AWS安全公告 用戶要關注AWS安全更新,一旦重要安全公告發布,如果裡面提到了需要更新AMI,用戶就要更新nodegroup 從去年12月到今年三月已經連續四個k8s or docker相關重要等級的安全漏洞發布 https://aws.amazon.com/security/security-bulletins/

  32. AWS托管服务的安全性 • 如果下一個CVE漏洞發生 • Kops with public endpoint and public nodes 你有沒有把握能安全升級業務不受影響? • 以及小版本升級例如1.11.8 -> 1.11.9 你有沒有把握很平穩的升上去 • 還有大版本升級 • EKS托管服务 托管控制平面自动安全补丁升级 • EKS 幫你監控,備份 master nodes

  33. 自动补丁升级 CFN update一下,ASG就rolling update了,一台一台重開,會有pause time間隔 或者起第二個新的ASG用新的AMI,把舊的ASG上面node都drain掉或taint掉 然後就的ASG關掉

  34. Firecracker 安全 这始终是我们的头等要务! Firecracker 利用多层隔离和保护,暴露的攻击面极小。 高性能 您现在可以在短至 125 毫秒的时间内启动 microVM(2019 年这个速度还会进一步加快),这使其成为多种工作负载的理想选择,包括瞬态或短期工作负载。 经过广泛测试 Firecracker 经过广泛测试,已经在为多种高容量 AWS 服务提供支持,包括 AWS Lambda 和 AWS Fargate。 低开销 使用 Firecracker,每个 microVM仅占用大约 5MiB 内存。您可以在同一实例上运行数千个采用截然不同的 vCPU 和内存配置的安全 VM。 开源 Firecracker 是一项活跃的开源项目。我们已经准备好审核并接受拉取请求,并期待与来自世界各地的贡献者合作。

  35. Thank you!

More Related