Utilizzato AWS KMS per crittografare lo storage temporaneo per Fargate SYS_ PTRACE funzionalità per il tracciamento delle chiamate di sistema del kernel con Fargate Usa Amazon GuardDuty con Fargate Runtime Monitoring

Le migliori pratiche di sicurezza di Fargate in Amazon ECS

Consigliamo di tenere in considerazione le best practice seguenti quando utilizzi AWS Fargate. Per ulteriori indicazioni, vedere Panoramica sulla sicurezza di. AWS Fargate

Utilizzato AWS KMS per crittografare lo storage temporaneo per Fargate

È necessario che lo storage temporaneo sia crittografato con una delle chiavi gestite dal cliente o con le proprie chiavi gestite dal cliente. AWS KMS Per le attività ospitate su Fargate utilizzando una versione della piattaforma 1.4.0 o successiva, ogni attività riceve 20 GiB di spazio di archiviazione temporaneo. Per ulteriori informazioni, vedete Customer Managed Key (). CMK La quantità totale di spazio di archiviazione temporaneo può essere aumentata, fino ad un massimo di 200 GiB, specificando il parametro ephemeralStorage nella definizione di attività. Per tali attività lanciate il 28 maggio 2020 o successivamente, l'archiviazione temporanea viene crittografata con un algoritmo di crittografia AES -256 utilizzando una chiave di crittografia gestita da Fargate.

Per ulteriori informazioni, consulta Opzioni di archiviazione per le ECS attività di Amazon.

Esempio: avvio di un'attività sulla piattaforma Fargate versione 1.4.0 con crittografia dello storage temporaneo

Il comando seguente avvierà un'operazione sulla piattaforma Fargate versione 1.4. Poiché questa attività viene avviata come parte del cluster, utilizza 20 GiB di storage temporaneo crittografato automaticamente.


aws ecs run-task --cluster clustername \
  --task-definition taskdefinition:version \
  --count 1
  --launch-type "FARGATE" \
  --platform-version 1.4.0 \
  --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ 
  --region region

SYS_ PTRACE funzionalità per il tracciamento delle chiamate di sistema del kernel con Fargate

La configurazione predefinita delle funzionalità di Linux che vengono aggiunte o rimosse dal container è fornita da Docker.

Le attività avviate su Fargate supportano solo l'aggiunta della funzionalità del kernel SYS_PTRACE.

Il video seguente mostra come utilizzare questa funzionalità attraverso il progetto Sysdig Falco.

Il codice discusso nel video precedente può essere trovato GitHub qui.

Usa Amazon GuardDuty con Fargate Runtime Monitoring

Amazon GuardDuty è un servizio di rilevamento delle minacce che aiuta a proteggere account, contenitori, carichi di lavoro e dati all'interno del tuo AWS ambiente. Utilizzando modelli di machine learning (ML) e funzionalità di rilevamento di anomalie e minacce, monitora GuardDuty continuamente diverse fonti di log e attività di runtime per identificare e dare priorità ai potenziali rischi per la sicurezza e alle attività dannose nel tuo ambiente.

Runtime Monitoring in GuardDuty protegge i carichi di lavoro in esecuzione su Fargate AWS monitorando continuamente i log e l'attività di rete per identificare comportamenti dannosi o non autorizzati. Runtime Monitoring utilizza un agente di GuardDuty sicurezza leggero e completamente gestito che analizza il comportamento sull'host, come l'accesso ai file, l'esecuzione dei processi e le connessioni di rete. Ciò riguarda questioni quali l'aumento dei privilegi, l'uso di credenziali esposte o la comunicazione con indirizzi IP e domini dannosi e la presenza di malware sulle istanze Amazon EC2 e sui carichi di lavoro dei container. Per ulteriori informazioni, consulta GuardDuty Runtime Monitoring nella Guida per l'utente. GuardDuty

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Considerazioni sulla sicurezza relative all'utilizzo del tipo di lancio Fargate

Considerazioni sulla sicurezza di Fargate