Segurança no Amazon ECR: boas práticas para imagens de containers
O registry é o ponto onde a supply chain de containers vive ou morre. Veja como proteger imagens no ECR.
O Amazon ECR guarda as imagens de container que rodam nos seus ambientes, o que o torna um ponto central da supply chain. Uma imagem com vulnerabilidades conhecidas, uma tag mutável que muda sob seus pés ou um repositório com permissões amplas demais comprometem tudo o que roda a partir dali. Segurança no ECR é garantir procedência, integridade e atualização das imagens.
Este guia trata das boas práticas de segurança no ECR de forma defensiva: scan de vulnerabilidades, imutabilidade de tags, ciclo de vida, permissões e cuidados com a cadeia de suprimento. O objetivo é que cada imagem promovida para produção seja confiável e rastreável.
Scan de vulnerabilidades e CVEs
Ative o scan de imagens do ECR para identificar CVEs nos pacotes da imagem. O scan no push pega problemas cedo, e o scan contínuo reavalia imagens já armazenadas conforme novas vulnerabilidades surgem. Uma imagem que era segura há meses pode acumular CVEs sem nenhuma mudança no seu código; sem scan contínuo, você empacota vulnerabilidades em produção.
Defina o que fazer com os achados: bloquear a promoção de imagens com vulnerabilidades críticas, priorizar correções e atualizar a base. O scan só agrega valor se houver um processo de tratamento, e não apenas um relatório ignorado.
Tags imutáveis e ciclo de vida
Tags mutáveis são uma armadilha de segurança: a mesma tag pode apontar para imagens diferentes ao longo do tempo, então o que você testou não é necessariamente o que roda. Habilite a imutabilidade de tags para que uma tag, uma vez publicada, sempre se refira à mesma imagem. Para builds reproduzíveis, referencie imagens por digest.
Use lifecycle policies para limpar imagens antigas e não utilizadas, reduzindo custo e a chance de alguém implantar uma versão obsoleta e vulnerável. Mantenha o que é necessário para rollback e expire o resto.
- Habilitar scan no push e scan contínuo
- Tratar achados, não apenas gerar relatório
- Habilitar imutabilidade de tags
- Referenciar imagens por digest em produção
- Definir lifecycle policy para expirar imagens antigas
Permissões e supply chain
Restrinja quem pode enviar e baixar imagens com políticas de repositório e IAM, aplicando menor privilégio. Cuidado redobrado com repositórios públicos, que expõem imagens a qualquer um e podem vazar conteúdo sensível embutido. Controle a procedência das base images, prefira fontes confiáveis e reconstrua imagens periodicamente para herdar correções da base.
Checklist prático
- Habilitar scan no push e scan contínuo de imagens
- Definir processo de tratamento dos achados de CVE
- Bloquear promoção de imagens com vulnerabilidades críticas
- Habilitar imutabilidade de tags
- Referenciar imagens por digest em produção
- Definir lifecycle policy para expirar imagens antigas
- Restringir push e pull com políticas de repositório e IAM
- Evitar repositórios públicos para imagens internas
- Controlar a procedência das base images
- Reconstruir imagens periodicamente para herdar correções
Boas práticas
- Trate o registry como ponto crítico da supply chain
- Use scan contínuo, porque CVEs surgem após o build
- Garanta imutabilidade para que o testado seja o que roda
- Aplique menor privilégio em push e pull
- Controle base images e reconstrua para herdar correções
- Expire imagens antigas para reduzir risco e custo
Erros comuns
Tags mutáveis em produção
A mesma tag passa a apontar para imagens diferentes; o testado não é o que roda.
Scan só no push, sem reavaliação contínua
Imagens acumulam CVEs descobertas depois do build sem ninguém notar.
Repositório público com imagem interna
Conteúdo sensível embutido na imagem fica exposto a qualquer um.
Achados de scan ignorados
Vulnerabilidades conhecidas seguem para produção sem tratamento.
Sem lifecycle policy
Imagens obsoletas e vulneráveis permanecem disponíveis para deploy.
Quando procurar apoio especializado
Integrar scan, imutabilidade e governança de imagens ao pipeline é parte do serviço de Hardening da GUARDIASEC, que avalia a supply chain de containers e recomenda controles priorizados por risco.
Perguntas frequentes
Por que habilitar scan contínuo se já faço scan no push?
Porque novas vulnerabilidades são descobertas o tempo todo. Uma imagem aprovada no push pode acumular CVEs semanas depois, sem nenhuma mudança no seu código. O scan contínuo reavalia imagens já armazenadas contra as CVEs mais recentes, evitando que você rode em produção uma imagem que se tornou vulnerável após o build.
O que são tags imutáveis e por que importam?
Tags imutáveis garantem que uma tag, depois de publicada, sempre se refira à mesma imagem. Sem isso, a mesma tag pode apontar para imagens diferentes ao longo do tempo, então o que você testou pode não ser o que roda em produção. A imutabilidade traz previsibilidade e é base para builds reproduzíveis e rastreáveis.
Devo bloquear deploy de imagens com CVE crítica?
É uma boa prática integrar o resultado do scan ao pipeline e bloquear a promoção de imagens com vulnerabilidades críticas conhecidas, ou ao menos exigir aprovação consciente. O scan só agrega valor com um processo de tratamento; um relatório que ninguém aciona não reduz risco. O bloqueio força a correção antes da produção.
Repositório público no ECR é seguro?
Repositórios públicos têm uso legítimo para distribuir imagens abertas, mas são arriscados para imagens internas, que podem conter configuração ou segredos embutidos. Para conteúdo interno, use repositórios privados com permissões restritas. Antes de tornar algo público, verifique que a imagem não carrega dados sensíveis nas camadas.
Guias relacionados
Próximo passo
Vamos avaliar os riscos do seu ambiente?
Conte seu cenário e definimos juntos o escopo certo. O objetivo é reduzir caminhos prováveis de ataque e elevar a maturidade de segurança, sem promessas absolutas.