Requisitos previos para el AWS Fargate soporte (ECSsolo para Amazon) - Amazon GuardDuty
Validación de los requisitos de arquitecturaProporcione ECR los permisos y los detalles de la subredValidar la política de control de servicios de la organizaciónCPUy límites de memoria

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para el AWS Fargate soporte (ECSsolo para Amazon)

Esta sección incluye los requisitos previos para monitorear el comportamiento en tiempo de ejecución de sus recursos de Fargate-AmazonECS. Una vez cumplidos estos requisitos previos, consulte ¿Habilitar la GuardDuty supervisión del tiempo.

Validación de los requisitos de arquitectura

La plataforma que utilices puede afectar a la forma GuardDuty en que el agente de GuardDuty seguridad admite la recepción de los eventos de tiempo de ejecución de tus ECS clústeres de Amazon. Debe validar que esté utilizando una de las plataformas verificadas.

Consideraciones iniciales:

La AWS Fargate plataforma de tus ECS clústeres de Amazon debe ser Linux. La versión de plataforma correspondiente debe ser como mínimo 1.4.0, o LATEST. Para obtener más información sobre las versiones de plataforma, consulte Versiones de plataforma Linux en la Guía para desarrolladores de Amazon Elastic Container Service.

Aún no se admiten las versiones de la plataforma Windows.

Plataformas verificadas

La distribución y la CPU arquitectura del sistema operativo afectan al soporte que proporciona el agente GuardDuty de seguridad. En la siguiente tabla se muestra la configuración verificada para implementar el agente GuardDuty de seguridad y configurar Runtime Monitoring.

Distribución del sistema operativo1 Compatibilidad del kernel Arquitectura de CPU
x64 () AMD64 Gravitón () ARM64
Linux eBPF, Tracepoints, Kprobe Soportado Soportado

1 Soporte para varios sistemas operativos: GuardDuty ha verificado la compatibilidad con el uso de Runtime Monitoring en los sistemas operativos que se enumeran en la tabla anterior. Si utiliza un sistema operativo diferente y puede instalar el agente de seguridad correctamente, es posible que obtenga todo el valor de seguridad esperado que se GuardDuty ha verificado para la distribución del sistema operativo indicada.

Proporcione ECR los permisos y los detalles de la subred

Antes de habilitar la Supervisión en tiempo de ejecución, debe proporcionar los siguientes detalles:

Proporcione un rol de ejecución de tareas con permisos

La función de ejecución de tareas requiere que tenga determinados permisos de Amazon Elastic Container Registry (AmazonECR). Puede utilizar la política mazonECSTask ExecutionRolePolicy gestionada A o añadir los siguientes permisos a su TaskExecutionRole política:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Para restringir aún más ECR los permisos de Amazon, puedes añadir el ECR repositorio de Amazon URI que aloja el agente de GuardDuty seguridad para AWS Fargate (ECSsolo Amazon). Para obtener más información, consulte Repositorio para GuardDuty agentes en AWS Fargate (ECSsolo Amazon).

Proporcione los detalles de la subred en la definición de la tarea

Puede proporcionar las subredes públicas como entrada en la definición de la tarea o crear un ECR VPC punto de conexión de Amazon.

  • Uso de la opción de definición de tareas: para ejecutar CreateServicey UpdateServiceAPIsen la APIreferencia de Amazon Elastic Container Service, es necesario pasar la información de la subred. Para obtener más información, consulte las definiciones de ECS tareas de Amazon en la Guía para desarrolladores de Amazon Elastic Container Service.

  • Uso de la opción Amazon ECR VPC Endpoint — Proporcione la ruta de red a Amazon ECR — Asegúrese de que el ECR repositorio de Amazon URI que aloja el agente GuardDuty de seguridad sea accesible desde la red. Si sus tareas de Fargate se ejecutarán en una subred privada, Fargate necesitará la ruta de red para descargar el contenedor. GuardDuty

    Para obtener información sobre cómo permitir que Fargate descargue el GuardDuty contenedor, consulte Uso de ECRimágenes de Amazon con Amazon ECS en la Guía del usuario de Amazon Elastic Container Registry.

Validar la política de control de servicios de la organización

Este paso es necesario GuardDuty para respaldar el monitoreo del tiempo de ejecución y evaluar la cobertura en los diferentes tipos de recursos.

Si ha configurado una política de control de servicios (SCP) para administrar los permisos en su organización, valide que el límite de permisos no sea restrictivo guardduty:SendSecurityTelemetry en su política TaskExecutionRole ni en la suya.

La siguiente política es un ejemplo de cómo permitir la política de guardduty:SendSecurityTelemetry:

{
    "Version": "2012-10-17",
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [
                ...,
                ...,               
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

  1. Siga los siguientes pasos para validar que el límite de permisos no restrinja guardduty:SendSecurityTelemetry:

    1. Inicie sesión en AWS Management Console y abra la IAM consola en https://console.aws.amazon.com/iam/.

    2. En el panel de navegación, en Administración del acceso, elija Roles.

    3. Elija el Nombre del rol para la página de detalles.

    4. Amplíe la sección Límite de permisos. Asegúrese de que guardduty:SendSecurityTelemetry no esté denegado ni restringido.

  2. Siga los siguientes pasos para validar que el Límite de permisos correspondiente a la política de TaskExecutionRole no restrinja guardduty:SendSecurityTelemetry:

    1. Inicie sesión en AWS Management Console y abra la IAM consola en https://console.aws.amazon.com/iam/.

    2. En el panel de navegación, en Administración de acceso, elija Políticas.

    3. Elija el Nombre de política para la página de detalles.

    4. En la pestaña Entidades asociadas, consulte la sección Asociadas como límite de permisos. Asegúrese de que guardduty:SendSecurityTelemetry no esté denegado ni restringido.

Para obtener información sobre las políticas y los permisos, consulte los límites de los permisos en la Guía del IAM usuario.

Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte Políticas de control de servicios (SCPs).

CPUy límites de memoria

En la definición de tarea de Fargate, debe especificar el valor CPU y el valor de memoria a nivel de tarea. La siguiente tabla muestra las combinaciones válidas de valores de memoria CPU y nivel de tarea, así como el límite máximo de memoria del agente de GuardDuty seguridad correspondiente para el contenedor. GuardDuty

Valor de CPU Valor de memoria GuardDuty límite máximo de memoria del agente

256 (0,25 v) CPU

512 MiB, 1 GB, 2 GB

128 MB

512 (0,5 v) CPU

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 v) CPU

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 v) CPU

Entre 4 GB y 16 GB en incrementos de 1 GB

4096 (4 v) CPU

Entre 8 GB y 20 GB en incrementos de 1 GB

8192 (8 v) CPU

Entre 16 GB y 28 GB en incrementos de 4 GB

256 MB

Entre 32 GB y 60 GB en incrementos de 4 GB

512 MB

16384 (16 v) CPU

Entre 32 GB y 120 GB en incrementos de 8 GB

1 GB

Después de habilitar la Supervisión en tiempo de ejecución y evaluar que la cobertura del clúster esté en buen estado, podrá configurar y ver las métricas de Información de contenedores. Para obtener más información, Configuración de la supervisión en el ECS clúster de Amazon.

El siguiente paso consiste en configurar la Supervisión en tiempo de ejecución, así como el agente de seguridad.