Le service de conteneurs d’Amazon est-il sûr ?
Dans la pléthore d’options de sécurité des conteneurs Amazon, comment gérer l’accès des utilisateurs et isoler les conteneurs EC2 ?
Elément central du Cloud public, la mutualisation des ressources informatiques permet aux fournisseurs de Cloud d’optimiser les ressources disponibles : les utilisateurs partagent les mêmes serveurs voire, dans le cas des conteneurs, des composants du système d’exploitation.
Certaines entreprises y décèlent un risque potentiel pour la sécurité. Si la technologie des conteneurs promet l’isolement et la sécurité en natif, AWS fournit ses propres outils adaptés aux conteneurs exécutés dans des instances EC2.
Avec ECS, le service de conteneur EC2 d’Amazon, les utilisateurs indiquent les instances de conteneurs Amazon exposées à Internet, précisent la plage des adresses IP utilisées pour le Cloud privé virtuel (VPC) qui héberge chaque instance, et connectent les ressources IT locales au VPC via des connexions chiffrées de réseau privé virtuel IPsec. Il est inutile de stocker ou de charger des instances de conteneurs depuis des sources de Cloud public, car elles sont accessibles depuis les registres Docker privés à l’intérieur du VPC.
Parallèlement, les équipes IT appliquent un contrôle très strict à la sécurité dans l’environnement Cloud ECS d’Amazon.
Les conteneurs ECS s’exécutent sur des services Elastic Compute Cloud (EC2). Aussi, les utilisateurs contrôlent les paramètres de sécurité du système d’exploitation et de la sécurité qui s'appliquent aux instances de conteneurs, notamment l’ajustement du niveau de sécurité de l’OS, la gestion des correctifs, la vérification des journaux que génèrent les outils AWS, comme AWS CloudTrail, et l’exécution d’autres outils de surveillance.
Conteneurs, Docker, AWS
Comment sauvegarder des conteneurs Docker
Docker : atouts et limites du porte étendard des conteneurs
Docker, conteneurs et virtualisation : la cohabitation est possible
Comment économiser sur la facturation d'Amazon Elastic Container Service ?
Quelle différence entre conteneurisation et virtualisation ?
Les administrateurs peuvent lancer un conteneur Amazon et des tâches avec différents paramètres qui adaptent le niveau de sécurité à chaque charge de travail.
La sécurité d’Amazon ECS donne aussi la maîtrise des autorisations d’accès des utilisateurs aux conteneurs.
Par exemple, EC2 prend en charge les stratégies de gestion des identités et des accès AWS pour des rôles et des utilisateurs donnés. Les créateurs et les gestionnaires des conteneurs peuvent alors définir des rôles qui serviront à hiérarchiser les charges à des fins d’équilibrage, et à créer des stratégies utilisateur pour restreindre l’accès.
Des groupes de sécurité et des listes de contrôle des accès au réseau permettent de limiter davantage le trafic réseau entrant et sortant entre les instances de conteneurs.