Cómo funciona Runtime Monitoring con Fargate (solo en AmazonECS) - Amazon GuardDuty
Enfoques para administrar los agentes GuardDuty de seguridad en AmazonECS: recursos de Fargate

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona Runtime Monitoring con Fargate (solo en AmazonECS)

Cuando se habilita la monitorización del tiempo de ejecución, GuardDuty se prepara para consumir los eventos de tiempo de ejecución de una tarea. Estas tareas se ejecutan dentro de los ECS clústeres de Amazon, que a su vez se ejecutan en las AWS Fargate instancias. GuardDuty Para recibir estos eventos de tiempo de ejecución, debe usar el agente de seguridad dedicado y totalmente administrado.

Puede GuardDuty permitir la administración del agente GuardDuty de seguridad en su nombre mediante la configuración automática del agente para una AWS cuenta o una organización. GuardDuty empezará a implementar el agente de seguridad en las nuevas tareas de Fargate que se lancen en tus clústeres de AmazonECS. La siguiente lista especifica qué esperar al activar el agente de GuardDuty seguridad.

Impacto de habilitar el agente GuardDuty de seguridad
GuardDuty crea un grupo de punto final y seguridad de nube privada virtual (VPC)

  • Al implementar el agente de GuardDuty seguridad, GuardDuty creará un VPC punto final a través del cual el agente de seguridad envía los eventos en tiempo de ejecución GuardDuty.

    Junto con el VPC punto final, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada (entrada) controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el VPC CIDR rango del recurso y también se adapta a él cuando cambia el CIDR rango. Para obtener más información, consulta la VPCCIDRgama en la Guía del VPC usuario de Amazon.

  • Trabajar con un agente centralizado VPC con un agente automatizado: cuando utilice la configuración de un agente GuardDuty automatizado para un tipo de recurso, GuardDuty se creará un VPC punto final en su nombre para todos losVPCs. Esto incluye el centralizado VPC y el radialVPCs. GuardDutyno admite la creación de un VPC punto final solo para los centralizadosVPC. Para obtener más información sobre el VPC funcionamiento de la centralización, consulte los VPCterminales de interfaz en el AWS documento técnico: Creación de una infraestructura multired escalable y segura. VPC AWS

  • El uso del punto final no conlleva ningún coste adicional. VPC

GuardDuty añade un contenedor con sidecar

Para una nueva tarea o servicio de Fargate que comience a ejecutarse, se adjunta un GuardDuty contenedor (sidecar) a cada contenedor de la tarea de Amazon Fargate. ECS El agente de GuardDuty seguridad se encuentra dentro del contenedor adjunto. GuardDuty Esto ayuda GuardDuty a recopilar los eventos de tiempo de ejecución de cada contenedor que se ejecuta dentro de estas tareas.

Cuando inicias una tarea de Fargate, si el GuardDuty contenedor (sidecar) no puede iniciarse en buen estado, Runtime Monitoring está diseñado para no impedir que las tareas se ejecuten.

De forma predeterminada, las tareas de Fargate son inmutables. GuardDuty no desplegará el sidecar cuando una tarea ya esté en ejecución. Si desea supervisar un contenedor en una tarea que ya está en ejecución, puede detener la tarea e iniciarla de nuevo.

Enfoques para administrar los agentes GuardDuty de seguridad en AmazonECS: recursos de Fargate

Runtime Monitoring le ofrece la opción de detectar posibles amenazas de seguridad en todos los ECS clústeres de Amazon (nivel de cuenta) o en clústeres selectivos (nivel de clúster) de su cuenta. Al activar la configuración automática de agentes para cada tarea de Amazon ECS Fargate que se vaya a ejecutar, GuardDuty añadirá un contenedor sidecar para cada carga de trabajo de contenedores incluida en esa tarea. El agente GuardDuty de seguridad se despliega en este contenedor de sidecar. Así es como GuardDuty obtiene visibilidad del comportamiento en tiempo de ejecución de los contenedores dentro de ECS las tareas de Amazon.

Runtime Monitoring solo permite administrar el agente de seguridad para sus ECS clústeres de Amazon (AWS Fargate) a través de GuardDuty. No se admite la administración manual del agente de seguridad en ECS los clústeres de Amazon.

Antes de configurar sus cuentas, evalúe si desea supervisar el comportamiento en tiempo de ejecución de todos los contenedores que pertenecen a las ECS tareas de Amazon o incluir o excluir recursos específicos. Tenga en cuenta los siguientes enfoques.

Supervisa todos los ECS clústeres de Amazon

Este enfoque ayudará a detectar posibles amenazas a la seguridad a nivel de cuenta. Usa este enfoque cuando desees GuardDuty detectar posibles amenazas de seguridad para todos los ECS clústeres de Amazon que pertenecen a tu cuenta.

Excluir ECS clústeres de Amazon específicos

Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para la mayoría de los ECS clústeres de Amazon de su AWS entorno, pero excluya algunos de ellos. Este enfoque te ayuda a monitorear el comportamiento en tiempo de ejecución de los contenedores dentro de tus ECS tareas de Amazon a nivel de clúster. Por ejemplo, el número de ECS clústeres de Amazon que pertenecen a tu cuenta es 1000. Sin embargo, solo quieres monitorizar 930 ECS clústeres de Amazon.

Este enfoque requiere que añadas una GuardDuty etiqueta predefinida a los ECS clústeres de Amazon que no quieres monitorizar. Para obtener más información, consulte Agente de seguridad automatizado de gestión para Fargate (solo en AmazonECS).

Incluir ECS clústeres de Amazon específicos

Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para algunos de los ECS clústeres de Amazon. Este enfoque te ayuda a monitorear el comportamiento en tiempo de ejecución de los contenedores dentro de tus ECS tareas de Amazon a nivel de clúster. Por ejemplo, el número de ECS clústeres de Amazon que pertenecen a tu cuenta es 1000. Sin embargo, solo desea supervisar 230 clústeres.

Este enfoque requiere que añadas una GuardDuty etiqueta predefinida a los ECS clústeres de Amazon que quieres monitorizar. Para obtener más información, consulte Agente de seguridad automatizado de gestión para Fargate (solo en AmazonECS).