Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come funziona il monitoraggio del runtime con le EC2 istanze Amazon
Le tue EC2 istanze Amazon possono eseguire diversi tipi di applicazioni e carichi di lavoro nel tuo AWS ambiente. Quando abiliti il Runtime Monitoring e gestisci il GuardDuty security agent, ti GuardDuty aiuta a rilevare le minacce nelle EC2 istanze Amazon esistenti e in quelle potenzialmente nuove. Questa funzionalità supporta anche le EC2 istanze Amazon gestite da Amazon ECS.
L'abilitazione del Runtime GuardDuty Monitoring consente di utilizzare gli eventi di runtime provenienti dai processi attualmente in esecuzione e dai nuovi processi all'interno EC2 delle istanze Amazon. GuardDuty richiede un agente di sicurezza per inviare gli eventi di runtime dall' EC2 istanza a GuardDuty.
Per EC2 le istanze Amazon, il GuardDuty security agent opera a livello di istanza. Puoi decidere se monitorare tutte le istanze Amazon o solo alcune EC2 istanze Amazon nel tuo account. Se desideri gestire istanze selettive, il security agent è necessario solo per queste istanze.
GuardDuty può anche utilizzare eventi di runtime da nuove attività e attività esistenti eseguite su EC2 istanze Amazon all'interno di cluster Amazon ECS.
Per installare l'agente GuardDuty di sicurezza, Runtime Monitoring offre le seguenti due opzioni:
Utilizza la configurazione automatica degli agenti tramite GuardDuty (consigliato)
Utilizza la configurazione automatizzata dell'agente che consente GuardDuty di installare il security agent sulle tue EC2 istanze Amazon per tuo conto. GuardDuty gestisce anche gli aggiornamenti del security agent.
Per impostazione predefinita, GuardDuty installa il security agent su tutte le istanze del tuo account. Se desideri GuardDuty installare e gestire il Security Agent solo per alcune EC2 istanze, aggiungi tag di inclusione o esclusione alle EC2 istanze, se necessario.
A volte, potresti non voler monitorare gli eventi di runtime per tutte le EC2 istanze Amazon che appartengono al tuo account. Nei casi in cui desideri monitorare gli eventi di runtime per un numero limitato di istanze, aggiungi un tag di inclusione comeGuardDutyManaged
: true
a queste istanze selezionate. A partire dalla disponibilità della configurazione automatica dell'agente per Amazon EC2, se la tua EC2 istanza ha un tag di inclusione (GuardDutyManaged
:true
), GuardDuty rispetterà il tag e gestirà il security agent per le istanze selezionate anche quando non abiliti esplicitamente la configurazione automatica dell'agente.
D'altra parte, se esiste un numero limitato di EC2 istanze per le quali non desideri monitorare gli eventi di runtime, aggiungi un tag di esclusione (GuardDutyManaged
:false
) a queste istanze selezionate. GuardDuty rispetterà il tag di esclusione non installando né gestendo il security agent per queste risorse. EC2
Impatto
Quando utilizzi la configurazione automatica degli agenti in un'organizzazione Account AWS o in un'organizzazione, autorizzi GuardDuty a eseguire le seguenti operazioni per tuo conto:
-
GuardDuty crea un'associazione SSM per tutte le EC2 istanze Amazon gestite da SSM e visualizzate in Fleet Manager nella console. https://console.aws.amazon.com/systems-manager/
-
Utilizzo dei tag di inclusione con la configurazione automatica dell'agente disabilitata: dopo aver abilitato il Runtime Monitoring, quando non abiliti la configurazione automatica dell'agente ma aggiungi il tag di inclusione alla tua EC2 istanza Amazon, significa che stai autorizzando GuardDuty la gestione del security agent per tuo conto. L'associazione SSM installerà quindi il security agent in ogni istanza che ha il tag di inclusione (
GuardDutyManaged
:true
). -
Se abiliti la configurazione automatica dell'agente, l'associazione SSM installerà quindi il security agent in tutte le EC2 istanze che appartengono al tuo account.
-
Utilizzo dei tag di esclusione con la configurazione automatica dell'agente: prima di abilitare la configurazione automatica dell'agente, quando aggiungi il tag di esclusione alla tua EC2 istanza Amazon, significa che stai autorizzando GuardDuty a impedire l'installazione e la gestione del security agent per l'istanza selezionata.
Ora, quando abiliti la configurazione automatica dell'agente, l'associazione SSM installerà e gestirà il security agent in tutte le EC2 istanze tranne quelle contrassegnate con il tag di esclusione.
-
GuardDuty crea endpoint VPC in tutti i VPC VPCs, compresi quelli condivisi VPCs, purché in quel VPC sia presente almeno un' EC2 istanza Linux che non si trova nello stato di terminazione o di chiusura dell'istanza. Ciò include il VPC e lo spoke centralizzati. VPCs GuardDuty non supporta la creazione di un endpoint VPC solo per il VPC centralizzato. Per ulteriori informazioni sul funzionamento del VPC centralizzato, consulta Interface VPC endpoint nel Whitepaper - Creazione di un'infrastruttura di AWS rete multi-VPC scalabile e sicura. AWS
Per informazioni sui diversi stati delle istanze, consulta il ciclo di vita dell'istanza nella Amazon EC2 User Guide.
GuardDuty supporta anche. Utilizzo di VPC condiviso con agenti di sicurezza automatizzati Dopo aver considerato tutti i prerequisiti per l'organizzazione Account AWS, GuardDuty utilizzerà il VPC condiviso per ricevere eventi di runtime.
Nota
Non sono previsti costi aggiuntivi per l'utilizzo dell'endpoint VPC.
-
Oltre all'endpoint VPC, crea GuardDuty anche un nuovo gruppo di sicurezza. Le regole in entrata (ingresso) controllano il traffico autorizzato a raggiungere le risorse associate al gruppo di sicurezza. GuardDuty aggiunge regole in entrata che corrispondono all'intervallo CIDR VPC per la tua risorsa e si adatta anche quando l'intervallo CIDR cambia. Per ulteriori informazioni, consulta la gamma VPC CIDR nella Amazon VPC User Guide.
Gestisci l'agente di sicurezza manualmente
Esistono due modi per gestire EC2 manualmente il Security Agent per Amazon:
-
Utilizza i documenti GuardDuty gestiti AWS Systems Manager per installare il security agent sulle tue EC2 istanze Amazon che sono già gestite tramite SSM.
Ogni volta che avvii una nuova EC2 istanza Amazon, assicurati che sia abilitata SSM.
-
Usa gli script RPM Package Manager (RPM) per installare il security agent sulle tue EC2 istanze Amazon, indipendentemente dal fatto che siano gestite tramite SSM o meno.
Approfondimenti
Per iniziare a utilizzare la configurazione di Runtime Monitoring per monitorare le tue EC2 istanze Amazon, consultaPrerequisiti per il supporto delle EC2 istanze Amazon.