AWS的容器和无服务器架构安全的实践.pptx

AWS容器及无服务器化的安全考量 Agenda AWS容器及无服务器化的最新进展 AWS云原生的安全架构 AWS容器及无服务器化的安全考量 Amazon EC2 Containers AWS Lambda On-Premises Low High Higher Highest 基础设施的演进 什么是无服务器计算Serverless? 构建和运行应用程序的时候不用考虑底层的服务器资源分配和管理 资源预配置和使用率 可靠性和容错 扩展性 运维和管理 AWS无服务器计算家族 AWS Fargate AWS容器生态系统 Amazon ECS—Task & Service EC2 instances LOAD BALANCER Internet ecs agent TASK Container TASK Container ecs agent TASK Container TASK Container Agent Communication Service Amazon ECS API CLUSTER MANAGEMENT ENGINE KEY/VALUE STORE ecs agent TASK Container TASK Container LOAD BALANCER ECS Service Notifications Amazon ECS CLUSTER Availability Zone #1 Availability Zone #2 Availability Zone #3 Subnet 2 /24 Subnet 1 /24 Subnet 3 /24 AWS ECS 适用场景 Amazon EKS 和开源 Kubernetes 一致体验 Upstream 保持和上游同步 支持企业生产级别的容器应用 按需和 AWS 服务无缝集成 自动升级打补丁 AWS托管的高可用性方案3个可用区，3个主节点 Kubectl New Master Kubernetes网络 每个pod都有一个IP地址 容器看到的IP与其他人看到的IP相同 Kubernetes通过插件的模式来实现网络解决方案(CNI) 主流的开源网络插件 amazon-vpc-cni-k8s插件原理 安全 IAM VPC PrivateLink Kubernetes网络策略强制执行网络安全规则 Calico是网络策略API的领导者 开源，活动的开发者（> 100个贡献者） Tigera提供商业支持 amazon-vpc-cni-k8s插件不支持NetworkPolicy。 EKS使用Calico实现NetworkPolicy虽然Calico本身就是CNI，但我们只会使用它的NetworkPolicy功能 安全策略 Calico网络安全策略 Kubectl使用IAM进行身份验证 Kubectl 3) Authorizes AWS Identity with RBAC K8s API 1) Passes AWS Identity 2) Verifies AWS Identity 4) K8s action allowed/denied AWS Auth Agenda AWS容器及无服务器化的最新进展 AWS云原生的安全架构 AWS容器及无服务器化的安全考量 分担安全责任模型 共同努力：AWS和您 减少安全事务 我们定义了十个主题以构建云中安全维度，每个主题均有对应的最佳实践及适用的用户场景。企业通过反复迭代，最终在保证业务需求及灵活性的同时，提升整体安全成熟度。 账号及权限管理 系统架构安全 数据分级及保护 安全运维，监控及日志管理 事件响应及自动化 安全持续集成与交付 合规性验证 自适应能力 配置及脆弱性分析 大数据安全 五大核心 五大延展 AWS云采用框架——安全维度 AWS Identity & Access Management (IAM) AWS MFA (Multi-Factor Authentication) AWS Organizations AWS Cognito AWS Directory Service AWS Single Sign-On AWS CloudTrail AWS Config AmazonCloudWatch + Logs Amazon GuardDuty VPC Flow Logs Amazon EC2Systems Manager AWS Shield AWS Web Application Firewall (WAF) Amazon Inspector Amazon Virtual Private Cloud (VPC) + NACL EC2 Security Group AWS Key Manageme