AWS容器及无服务器化的安全考量

Agenda AWS容器及无服务器化的最新进展 AWS云原生的安全架构 AWS容器及无服务器化的安全考量

基础设施的演进 Infrastructure / Platform speed: Low High Higher Highest Infrastructure / Platform speed: From weeks (HW) to minutes (Cloud) to seconds (Containers)… to milliseconds (AWS Lambda) Developers use the speed of the platform On-Premises Amazon EC2 Containers AWS Lambda

什么是无服务器计算Serverless? 构建和运行应用程序的时候不用考虑底层的服务器资源分配和管理 资源预配置和使用率 可靠性和容错 扩展性 运维和管理

Monitoring and Debugging AWS无服务器计算家族 AWS Lambda Compute Amazon S3 Storage Amazon DynamoDB Database Amazon Aurora Serverless (coming soon) AWS Fargate Amazon API Gateway API Proxy Amazon SNS Amazon SQS Messaging Amazon Kinesis Analytics Amazon Athena Lambda is the compute portion of an entire platform of serverless offerings from AWS that let you build application architectures that enjoy the same kind of benefits end-to-end that we’ve been talking about on the compute side. Object storage with S3, NoSQL data storage with DynamoDB, APIs, real-time streaming, more recent launches like Amazon Athena for data lake analysis, and new launches this week including S3 Select and Aurora Serverless. Expect to see us continue investing aggressively in the individual services, including Lambda, but also to keep growing and adapting the entire portfolio to continue to bring new serverless offerings and enhance existing ones in a coordinated strategy to bring more ease of use and reduce the challenges of dealing with infrastructure to all our customers. Orchestration AWS Step Functions Monitoring and Debugging AWS X-Ray Edge Compute AWS Greengrass Lambda@Edge

AWS容器生态系统

Amazon ECS—Task & Service EC2 instances ECS Service TASK TASK LOAD BALANCER ecs agent Internet Container Container TASK TASK ecs agent Amazon ECS Container Container Agent Communication Service API TASK TASK CLUSTER MANAGEMENT ENGINE ecs agent LOAD BALANCER KEY/VALUE STORE Container Container

172.31.1.0/24 172.31.2.0/24 172.31.3.0/24 Amazon ECS CLUSTER Subnet 1 ECS Instance EC2 FARGATE Web Shopping Cart Notifications Availability Zone #1 Availability Zone #2 Availability Zone #3

AWS ECS 适用场景

Amazon EKS 和开源 Kubernetes 一致体验 Upstream 保持和上游同步 支持企业生产级别的容器应用 按需和 AWS 服务无缝集成 It is Kubernetes Upstream Kubernetes Best experience on AWS Improve and build integrations with other AWS services. Work with the community 自动升级 打补丁

AWS托管的高可用性方案 3个可用区，3个主节点 Kubectl EKS Endpoint AZ 1 Unhealthy Master AZ 1 Master AZ 1 Master New Master

Kubernetes网络 每个pod都有一个IP地址 容器看到的IP与其他人看到的IP相同 Kubernetes通过插件的模式来实现网络解决方案(CNI)

主流的开源网络插件

amazon-vpc-cni-k8s插件原理

安全 IAM VPC PrivateLink 借助Amazon EKS，您可以轻松地为您的Kubernetes群集提供安全性，同时提供AWS服务高级功能和技术合作伙伴解决方案的集成。例如，IAM提供细粒度的访问控制，AWS PrivateLink提供专用网络访问，Amazon VPC将您的Kubernetes集群与其他客户隔离。 IAM 认证 Amazon EKS通过与Heptio的合作将Kubernetes RBAC（Kubernetes的本地角色访问控制系统）与IAM认证相集成。您可以将RBAC角色直接分配给每个IAM实体，从而可以精细地控制对Kubernetes主节点的访问权限。 VPC 支持 您的群集在Amazon VPC中运行，允许您使用自己的VPC安全组和网络ACL。没有计算资源与其他客户共享。这为您提供了高度的隔离，并帮助您使用Amazon EKS构建高度安全和可靠的应用程序。 Amazon EKS与Tigera的Calico合作，将其与AWS VPC容器网络接口（CNI）集成，以提供细粒度的网络策略。这使您可以使用Kubernetes API在每个微服务的基础上控制访问。 PrivateLink 支持 Amazon EKS支持PrivateLink作为访问您Kubernetes主节点和Amazon EKS服务的方法。通过PrivateLink，您的Kubernetes主节点和Amazon EKS服务API端点在您的Amazon VPC中显示为具有私有IP地址的弹性网络接口（ENI）。这允许您直接从您自己的Amazon VPC中访问Kubernetes主节点和Amazon EKS服务，而无需使用公共IP地址或要求流量穿越互联网。

Kubernetes网络策略强制执行网络安全规则 安全策略 amazon-vpc-cni-k8s插件不支持NetworkPolicy。 EKS使用Calico实现NetworkPolicy虽然Calico本身就是CNI，但我们只会使用它的NetworkPolicy功能 Kubernetes网络策略强制执行网络安全规则 Calico是网络策略API的领导者 开源，活动的开发者（> 100个贡献者） Tigera提供商业支持

Calico网络安全策略

Kubectl使用IAM进行身份验证 1) Passes AWS Identity 2) Verifies AWS Identity K8s API AWS Auth 4) K8s action allowed/denied See: https://aws.amazon.com/blogs/opensource/deploying-heptio-authenticator-kops/ From v1.10 onwards you can use the stock kubectl binaries, by installing the Heptio Authenticator and modifying your kubectl configuration file to use it for authentication Amazon EKS uses IAM to provide authentication to your Kubernetes cluster (through the Heptio Authenticator), but it still relies on native Kubernetes Role Based Access Control (RBAC) for authorization. This means that IAM is only used for authentication of valid IAM entities. All permissions for interacting with your Amazon EKS cluster’s Kubernetes API is managed through the native Kubernetes RBAC system. Process is as follows: Authenticated using IAM based on your AWS identify IAM identity is mapped via an RBAC RoleBinding to an RBAC role The Role contains permissions stating what actions it can perform against which objects Roles grant permissions within a namespace. ClusterRoles grant permissions cluster wide. 3) Authorizes AWS Identity with RBAC

Agenda AWS容器及无服务器化的最新进展 AWS云原生的安全架构 AWS容器及无服务器化的安全考量

AWS Networking Services 分担安全责任模型 AWS Networking Services 计算 数据库 存储 部署与管理 客户端数据加密和数据 完整性验证 服务器端加密 （文件系统和/或数据） 网络流量保护（加密/ 完整性/身份标示） 操作系统、网络和防火墙配置 平台、应用程序、身份和权限管理 客户数据 AWS 全球基础设施 可用区/区域 边缘站点 您： 基础设施上的所有项目 共同 努力： AWS 和 您 减少安全事务 AWS： 底层基础设施 AWS 强调安全性的责任共担模型。 [单击 1：] 根据责任共担模型，AWS 提供有全球安全基础设施和基础联网、计 算、数据库和存储服务。AWS 还提供更高级别的服务和各种安全服务和功能， 让 AWS 客户可以放心使用，保护其资产安全。 [单击 2：] AWS 客户需对他们放在基础设施上的任何项目负责，以保护其放置 在云中的数据的机密性、完整性和可用性，并满足信息保护的特定商业要求。 [单击 3：] 责任共担模型减小了客户需要自己处理的“安全事务”总量。他们 依靠 AWS 提供可以用作构建基础的安全平台。由于关注面更小，客户的安全团 队自己处理的安全事务更少，可以将更多注意力放到操作系统和应用程序级安 全问题及其自己的具体要求上。 他们的专家可以重点从事与其业务或任务的差别价值更加密切相关的领域并且 取得更好的成绩，这与应用于低级安全性和合规性工作以及基础设施管理自身 的一般“无差别繁重工作”完全相反。

AWS云采用框架——安全维度 安全视角 五大核心 五大延展 我们定义了十个主题以构建云中安全维度，每个主题均有对应的最佳实践及适用的用户场景。企业通过反复迭代，最终在保证业务需求及灵活性的同时，提升整体安全成熟度。 安全视角 方针 防御 监测 响应 五大核心 五大延展 账号及权限管理 安全持续集成与交付 合规性验证 自适应能力 配置及脆弱性分析 大数据安全 系统架构安全 数据分级及保护 安全运维，监控及日志管理 事件响应及自动化

AWS 安全解决方案 身份管理 侦测控制 基础设施安全 数据保护 事件响应 AWS Identity & Access Management (IAM) AWS MFA (Multi-Factor Authentication) AWS Organizations AWS Cognito AWS Directory Service AWS Single Sign-On AWS CloudTrail AWS Config Amazon CloudWatch + Logs Amazon GuardDuty VPC Flow Logs Amazon EC2 Systems Manager AWS Shield AWS Web Application Firewall (WAF) Amazon Inspector Amazon Virtual Private Cloud (VPC) + NACL EC2 Security Group AWS Key Management Service (KMS) AWS CloudHSM Amazon Macie Certificate Manager S3 Server Side Encryption Glacier Vault Lock AWS Config Rules AWS Lambda

Identity & access management AWS Identity and Access Management (IAM) 安全的控制对AWS服务和资源的访问 AWS Organizations 基于策略的多AWS账户的管理 Amazon Cognito 针对Web和移动应用提供用户注册、登录和访问控制 AWS Directory Service 在AWS 上托管的Microsoft Active Directory AWS Single Sign-On 集中管理对多个AWS账户和业务应用程序的单点登录（SSO） AWS Multi-Factor Authentication (MFA) 能够在用户名称和密码之外再额外增加一层保护 Identity & access management 身份与访问管理 跨AWS 服务的用户权限和资 源的定义、执行和审核

在影响业务之前发现问题、改 善安全态势、降低风险，更重 要的是获得所需要的可性 AWS CloudTrail 满足AWS账户的治理、合规性和运营/风险审计的要求 AWS Config 记录并评估AWS资源的配置。 提供合规审计、安全分析，资源变更跟踪 和故障排除等功能 Amazon CloudWatch 在AWS上监控AWS的资源以及应用程序以收集指标、监控日志文件、设 置警报并自动对变更做出响应 Amazon GuardDuty 智能威胁检测和持续监控可保护用户的AWS账户和工作负载 VPC Flow Logs 捕获VPC 中的网络接口有关的 IP 流量的信息。流日志数据存储在 Amazon CloudWatch 日志中 侦测控制 在影响业务之前发现问题、改 善安全态势、降低风险，更重 要的是获得所需要的可性

减少管理的任务增加AWS上的 整体基础设施的隐私和控制 Amazon EC2 Systems Manager 轻松配置和管理Amazon EC2和本地系统的操作系统补丁，创建安全系 统映像并配置安全操作系统 AWS Shield 在AWS上运行的可保护Web应用程序的托管DDoS保护服务 AWS Web Application Firewall (WAF) 保护Web应用程序免受常见的Web漏洞攻击，确保可用性和安全性 Amazon Inspector 自动化安全评估，以帮助改进部署在AWS上的应用程序的安全性和合 规性 Amazon Virtual Private Cloud (VPC) 配置一个逻辑隔离的AWS部分，可以使得AWS资源在所定义的虚拟网 络中运行 基础设施安全 减少管理的任务增加AWS上的 整体基础设施的隐私和控制

AWS Key Management Service (KMS) 轻松创建和控制用于加密数据的密钥 AWS CloudHSM AWS上的托管的硬件安全模块（HSM） Amazon Macie 基于机器学习的安全服务，用于发现、分类和保护敏感数据 AWS Certificate Manager 轻松配置、管理和部署用于AWS服务的 SSL / TLS证书 Server Side Encryption 这是一个灵活的、使用AWS托管密钥服务的数据加密选项，通过AWS KMS管理密钥或客户自己的密钥 数据保护 除了托管的的自动数据加密和 管理服务之外, 还要更多的数据 保护功能 (包括数据管理、数据安全以及加密密钥存储)

在事件发生期间，收集事件并回 到已知的良好状态是响应计划的 重要组成部分。AWS 提供了以下 实现此最佳实践的自动化方面的 工具 AWS Config Rules 创建规则以响应环境中发生的变化而采取自动化的措施，例如隔离资源，通过 其它数据完善事件，或将配置恢复到已知良好的状态 AWS Lambda 使用AWS的无服务器计算服务来运行代码，而无需配置或管理服务器，便于 实现编程的自动化事件响应 意外响应 在事件发生期间，收集事件并回 到已知的良好状态是响应计划的 重要组成部分。AWS 提供了以下 实现此最佳实践的自动化方面的 工具

使用安全组的多层体系结构 Web Layer Application Layer Database Layer Only 80 and 443 open to Internet Open access only to Web Layer and ssh open to management bastion By default, all ports are closed Amazon EC2 Security Group Firewall

Classic Load Balancer(s) Kubernetes Cluster State Internet gateway VPC NAT gateway VPC NAT gateway VPC NAT gateway Classic Load Balancer(s) Public Subnet Public Subnet Public Subnet Kubernetes Cluster State M M M EBS EBS EBS ASG ASG ASG A typical cluster created by Kops. Multi-master, multi-worker, multi-AZ with masters/workers in private subnets. W W W Private Subnet Private Subnet Private Subnet Availability Zone Availability Zone Availability Zone

Agenda AWS容器及无服务器化的最新进展 AWS云原生的安全架构 AWS容器及无服务器化的安全考量

AWS安全公告 https://aws.amazon.com/security/security-bulletins/ 用戶要關注AWS安全更新，一旦重要安全公告發布，如果裡面提到了需要更新AMI，用戶就要更新nodegroup 從去年12月到今年三月已經連續四個k8s or docker相關重要等級的安全漏洞發布 https://aws.amazon.com/security/security-bulletins/

AWS托管服务的安全性 如果下一個CVE漏洞發生 Kops with public endpoint and public nodes 你有沒有把握能安全升級業務不受影響？ 以及小版本升級例如1.11.8 -> 1.11.9 你有沒有把握很平穩的升上去 還有大版本升級 EKS托管服务 托管控制平面自动安全补丁升级 EKS 幫你監控，備份 master nodes

自动补丁升级 CFN update一下，ASG就rolling update了，一台一台重開，會有pause time間隔 或者起第二個新的ASG用新的AMI，把舊的ASG上面node都drain掉或taint掉 然後就的ASG關掉

Firecracker 安全 高性能 经过广泛测试 低开销 开源 您现在可以在短至 125 毫秒的时间内启动 microVM（2019 年这个速度还会进一步加快），这使其成为多种工作负载的理想选择，包括瞬态或短期工作负载。 经过广泛测试 Firecracker 经过广泛测试，已经在为多种高容量 AWS 服务提供支持，包括 AWS Lambda 和 AWS Fargate。 低开销 使用 Firecracker，每个 microVM 仅占用大约 5MiB 内存。您可以在同一实例上运行数千个采用截然不同的 vCPU 和内存配置的安全 VM。 开源 Firecracker 是一项活跃的开源项目。我们已经准备好审核并接受拉取请求，并期待与来自世界各地的贡献者合作。

Thank you!