Prácticas recomendadas sobre seguridad de Fargate en Amazon ECS - Amazon Elastic Container Service

Prácticas recomendadas sobre seguridad de Fargate en Amazon ECS

Al utilizar AWS Fargate, recomendamos que tenga en cuenta las siguientes prácticas recomendadas. Para obtener más orientación, consulte Descripción general de la seguridad de AWS Fargate.

Uso de AWS KMS para cifrar el almacenamiento efímero de Fargate

Debe cifrar su almacenamiento efímero mediante AWS KMS o mediante sua propiaa clavea administrada por el cliente. En el caso de las tareas alojadas en Fargate que utilizan la versión de la plataforma 1.4.0 o una posterior, cada una de ellas recibe 20 GiB de almacenamiento efímero. Para obtener más información, consulte clave administrada por el cliente (CMK). Puede aumentar la cantidad total de almacenamiento efímero, hasta un máximo de 200 GiB, especificando el parámetro ephemeralStorage en la definición de tareas. Para las tareas que se lanzaron el 28 de mayo de 2020 o después, el almacenamiento efímero se cifra con un algoritmo de cifrado AES-256 que utiliza una clave de cifrado administrada por Fargate.

Para obtener más información, consulte Uso de volúmenes de datos en tareas.

Ejemplo: lanzar una tarea de Fargate en la versión de la plataforma 1.4.0 con cifrado de almacenamiento efímero

El siguiente comando lanzará una tarea de Fargate en la versión de la plataforma 1.4. Como esta tarea se lanza como parte del clúster, utiliza los 20 GiB de almacenamiento efímero que se cifra automáticamente.

aws ecs run-task --cluster clustername \ --task-definition taskdefinition:version \ --count 1 --launch-type "FARGATE" \ --platform-version 1.4.0 \ --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ --region region

Capacidad SYS_PTRACE para el seguimiento de llamadas al sistema del kernel con Fargate

Docker proporciona la configuración predeterminada de las capacidades de Linux que se agregan al contenedor o se eliminan de él.

Las tareas lanzadas en Fargate solo admiten la adición de la capacidad del kernel SYS_PTRACE.

En el siguiente video se muestra cómo utilizar esta característica mediante el proyecto Falco de Sysdig.

El código mencionado en el video anterior se puede encontrar en GitHub aquí.

Uso de la supervisión en tiempo de ejecución de Amazon GuardDuty con Fargate

Amazon GuardDuty es un servicio de detección de amenazas que ayuda a proteger las cuentas, los contenedores, las cargas de trabajo y los datos de su entorno de AWS. Mediante modelos de machine learning (ML) y capacidades de detección de anomalías y amenazas, GuardDuty supervisa continuamente los diferentes orígenes de registro y la actividad en tiempo de ejecución para identificar y priorizar los posibles riesgos de seguridad y actividades maliciosas en su entorno.

La supervisión en tiempo de ejecución en GuardDuty protege las cargas de trabajo que se ejecutan en Fargate mediante la supervisión continua de la actividad de registro y red de AWS para identificar comportamientos malintencionados o no autorizados. La supervisión en tiempo de ejecución utiliza un agente de seguridad de GuardDuty ligero y totalmente administrado que analiza el comportamiento en el host (como el acceso a los archivos, la ejecución de procesos y las conexiones de red). Esto abarca problemas como el escalado de privilegios, el uso de credenciales expuestas, la comunicación con direcciones IP malintencionadas, los dominios y la presencia de malware en las cargas de trabajo de contenedores e instancias de Amazon EC2. Para obtener más información, consulte GuardDuty Runtime Monitoring en la Guía del usuario de GuardDuty.