Considerazioni sulla sicurezza delle istanze di EC2 container di Amazon Container ECS - Amazon Elastic Container Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni sulla sicurezza delle istanze di EC2 container di Amazon Container ECS

È consigliabile prendere in considerazione una singola istanza di container e il relativo accesso all'interno del modello di minaccia. Ad esempio, una singola attività interessata potrebbe essere in grado di sfruttare le IAM autorizzazioni di un'attività non infetta sulla stessa istanza.

Per impedirlo, consigliamo di utilizzare la procedura seguente:

  • Non utilizzare i privilegi di amministratore quando esegui le attività.

  • Assegna un ruolo di attività con accesso meno privilegiato alle attività.

    L'agente di container crea in automatico un token con un ID di credenziali univoco che viene utilizzato per accedere alle ECS risorse Amazon.

  • Per impedire ai container in esecuzione come parte di un'attività che usano la modalità di awsvpc rete di accedere alle informazioni sulle credenziali fornite al profilo dell'EC2istanza Amazon (continuando a concedere le autorizzazioni fornite dal ruolo dell'attività), imposta la variabile di configurazione dell'ECS_AWSVPC_BLOCK_IMDSagente su true nel file di configurazione dell'agente e riavvia l'agente.

  • Usa Amazon GuardDuty Runtime Monitoring per rilevare le minacce per cluster e contenitori all'interno del tuo AWS ambiente. Il monitoraggio del runtime utilizza un agente GuardDuty di sicurezza che aggiunge visibilità di runtime nei singoli ECS carichi di lavoro Amazon, ad esempio l'accesso ai file, l'esecuzione dei processi e le connessioni di rete. Per ulteriori informazioni, consulta GuardDutyRuntime Monitoring nella Guida per l'GuardDuty utente.