事件经过
发布于2026年7月1日:AWS Network Firewall现在支持Amazon EKS和ECS集群的容器属性规则,支持以容器元数据(pod标签、任务定义、镜像标签)为键的安全策略。AWS博客明确指出AI/ML工作负载是主要用例,允许团队对模型服务容器、代理运行时和数据管道容器与其他工作负载进行微分段,无需按IP规则管理。
影响分析
关闭了AWS上AI/ML工作负载隔离的长期存在的空白:以前,网络级规则无法区分与共享同一节点的常规应用容器的LLM推理容器。容器属性规则为代理运行时启用最小权限网络策略,无需手动IP跟踪。
适用范围
在EKS或ECS上运行AI/ML工作负载的AWS客户应评估容器属性规则以替换过度宽泛的安全组规则;对于运行代理式运行时(AWS Bedrock AgentCore、自定义LangChain容器)与敏感数据服务的团队尤为相关。