Sicherheitsüberlegungen zu EC2 Amazon-Container-Instances ECS - Amazon Elastic Container Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsüberlegungen zu EC2 Amazon-Container-Instances ECS

Sie sollten eine einzelne Container-Instance und ihren Zugriff innerhalb Ihres Bedrohungsmodells berücksichtigen. Beispielsweise könnte eine einzelne betroffene Aufgabe in der Lage sein, die IAM Berechtigungen einer nicht infizierten Aufgabe auf derselben Instance zu nutzen.

Wir empfehlen Ihnen Folgendes, um dies zu verhindern:

  • Verwenden Sie bei der Ausführung Ihrer Aufgaben keine Administratorrechte.

  • Weisen Sie Ihren Aufgaben eine Aufgabenrolle mit der geringsten Berechtigung zu.

    Der Container-Agent erstellt automatisch ein Token mit einer eindeutigen Anmeldeinformations-ID, das für den Zugriff auf ECS Amazon-Ressourcen verwendet wird.

  • Um zu verhindern, dass Container, die von Aufgaben mit dem awsvpc Netzwerkmodus ausgeführt werden, auf die Anmeldeinformationen zugreifen, die dem EC2 Amazon-Instance-Profil bereitgestellt werden, während die Berechtigungen, die von der Aufgabenrolle bereitgestellt werden, weiterhin zulässig sind, setzen Sie die ECS_AWSVPC_BLOCK_IMDS Agentenkonfigurationsvariable in der Agentenkonfigurationsdatei auf true und starten Sie den Agenten neu.

  • Verwenden Sie Amazon GuardDuty Runtime Monitoring, um Bedrohungen für Cluster und Container in Ihrer AWS Umgebung zu erkennen. Die Laufzeit-Überwachung verwendet einen GuardDuty Sicherheitsagenten, der Laufzeit einzelner ECS Amazon-Workloads transparent macht, z. B. Dateizugriff, Prozessausführung und Netzwerkverbindungen. Weitere Informationen finden Sie unter GuardDutyRuntime Monitoring im GuardDuty Benutzerhandbuch.