Come funziona il monitoraggio del runtime con Fargate (solo Amazon ECS) - Amazon GuardDuty
Approcci per gestire gli agenti GuardDuty di sicurezza nelle risorse di Amazon ECS-Fargate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona il monitoraggio del runtime con Fargate (solo Amazon ECS)

Quando abiliti il monitoraggio del runtime, GuardDuty diventa pronto a consumare gli eventi di runtime di un'attività. Queste attività vengono eseguite all'interno dei cluster Amazon ECS, che a loro volta vengono eseguiti sulle AWS Fargate istanze. GuardDuty Per ricevere questi eventi di runtime, devi utilizzare il security agent dedicato e completamente gestito.

Puoi consentire la gestione del GuardDuty security agent GuardDuty per tuo conto, utilizzando la configurazione automatizzata dell'agente per un AWS account o un'organizzazione. GuardDuty inizierà a distribuire il security agent nelle nuove attività di Fargate che vengono lanciate nei cluster Amazon ECS. L'elenco seguente specifica cosa aspettarsi quando si abilita il security agent. GuardDuty

Impatto dell'attivazione del GuardDuty Security Agent
GuardDuty crea un endpoint e un gruppo di sicurezza su cloud privato virtuale (VPC)

  • Quando si distribuisce il GuardDuty security agent, GuardDuty verrà creato un endpoint VPC attraverso il quale il security agent consegna gli eventi di runtime. GuardDuty

    Oltre all'endpoint VPC, crea GuardDuty anche un nuovo gruppo di sicurezza. Le regole in entrata (ingresso) controllano il traffico autorizzato a raggiungere le risorse associate al gruppo di sicurezza. GuardDuty aggiunge regole in entrata che corrispondono all'intervallo CIDR VPC per la tua risorsa e si adatta anche quando l'intervallo CIDR cambia. Per ulteriori informazioni, consulta la gamma VPC CIDR nella Amazon VPC User Guide.

  • Utilizzo di un VPC centralizzato con agente automatizzato: quando GuardDuty utilizzi la configurazione automatica degli agenti per un tipo di risorsa GuardDuty , creerà un endpoint VPC per tuo conto per tutti. VPCs Ciò include il VPC e lo spoke centralizzati. VPCs GuardDutynon supporta la creazione di un endpoint VPC solo per il VPC centralizzato. Per ulteriori informazioni sul funzionamento del VPC centralizzato, consulta Interface VPC endpoint nel Whitepaper - Creazione di un'infrastruttura di AWS rete multi-VPC scalabile e sicura. AWS

  • Non sono previsti costi aggiuntivi per l'utilizzo dell'endpoint VPC.

GuardDuty aggiunge un contenitore sidecar

Per una nuova attività o servizio Fargate che inizia a funzionare, un GuardDuty container (sidecar) si collega a ciascun contenitore all'interno dell'attività Amazon ECS Fargate. L'agente di GuardDuty sicurezza viene eseguito all'interno del contenitore collegato. GuardDuty Questo aiuta GuardDuty a raccogliere gli eventi di runtime di ogni contenitore in esecuzione nell'ambito di queste attività.

Quando si avvia un'attività Fargate, se il GuardDuty contenitore (sidecar) non è in grado di avviarsi in uno stato integro, il Runtime Monitoring è progettato per non impedire l'esecuzione delle attività.

Per impostazione predefinita, un'attività Fargate è immutabile. GuardDuty non distribuirà il sidecar quando un'attività è già in esecuzione. Se desideri monitorare un contenitore in un'attività già in esecuzione, puoi interrompere l'attività e riavviarla.

Approcci per gestire gli agenti GuardDuty di sicurezza nelle risorse di Amazon ECS-Fargate

Runtime Monitoring ti offre la possibilità di rilevare potenziali minacce alla sicurezza su tutti i cluster Amazon ECS (a livello di account) o sui cluster selettivi (a livello di cluster) del tuo account. Quando abiliti la configurazione automatizzata degli agenti per ogni attività di Amazon ECS Fargate che verrà eseguita GuardDuty , aggiungerà un contenitore secondario per ogni carico di lavoro del container all'interno di tale attività. L'agente GuardDuty di sicurezza viene distribuito in questo contenitore secondario. In questo modo si GuardDuty ottiene visibilità sul comportamento di runtime dei contenitori all'interno delle attività di Amazon ECS.

Runtime Monitoring supporta la gestione dell'agente di sicurezza per i cluster Amazon ECS (AWS Fargate) solo tramite. GuardDuty Non è disponibile alcun supporto per la gestione manuale del security agent sui cluster Amazon ECS.

Prima di configurare i tuoi account, valuta se desideri monitorare il comportamento di runtime di tutti i contenitori che appartengono alle attività di Amazon ECS o includere o escludere risorse specifiche. Considera i seguenti approcci.

Monitoraggio per tutti i cluster Amazon ECS

Questo approccio ti aiuterà a rilevare potenziali minacce alla sicurezza a livello di account. Utilizza questo approccio quando desideri rilevare potenziali minacce GuardDuty alla sicurezza per tutti i cluster Amazon ECS che appartengono al tuo account.

Escludi cluster Amazon ECS specifici

Utilizza questo approccio quando desideri rilevare potenziali minacce GuardDuty alla sicurezza per la maggior parte dei cluster Amazon ECS nel tuo AWS ambiente ma escluderne alcuni. Questo approccio ti aiuta a monitorare il comportamento di runtime dei container all'interno delle tue attività Amazon ECS a livello di cluster. Ad esempio, il numero di cluster Amazon ECS che appartengono al tuo account è 1000. Tuttavia, desideri monitorare solo 930 cluster Amazon ECS.

Questo approccio richiede l'aggiunta di un GuardDuty tag predefinito ai cluster Amazon ECS che non desideri monitorare. Per ulteriori informazioni, consulta Gestione dell'agente di sicurezza automatizzato per Fargate (solo Amazon ECS).

Includi cluster Amazon ECS specifici

Utilizza questo approccio quando desideri GuardDuty rilevare potenziali minacce alla sicurezza per alcuni cluster Amazon ECS. Questo approccio ti aiuta a monitorare il comportamento di runtime dei container all'interno delle tue attività Amazon ECS a livello di cluster. Ad esempio, il numero di cluster Amazon ECS che appartengono al tuo account è 1000. Tuttavia, desideri monitorare solo 230 cluster.

Questo approccio richiede l'aggiunta di un GuardDuty tag predefinito ai cluster Amazon ECS che desideri monitorare. Per ulteriori informazioni, consulta Gestione dell'agente di sicurezza automatizzato per Fargate (solo Amazon ECS).