Come funziona il monitoraggio del runtime con Fargate (solo AmazonECS) - Amazon GuardDuty
Approcci alla gestione GuardDuty degli agenti di sicurezza nelle risorse di ECS Amazon-Fargate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona il monitoraggio del runtime con Fargate (solo AmazonECS)

Quando abiliti il monitoraggio del runtime, GuardDuty diventa pronto a consumare gli eventi di runtime di un'attività. Queste attività vengono eseguite all'interno dei ECS cluster Amazon, che a loro volta vengono eseguiti sulle AWS Fargate istanze. GuardDuty Per ricevere questi eventi di runtime, devi utilizzare il security agent dedicato e completamente gestito.

Puoi consentire la gestione del GuardDuty security agent GuardDuty per tuo conto, utilizzando la configurazione automatizzata dell'agente per un AWS account o un'organizzazione. GuardDuty inizierà a distribuire il security agent alle nuove attività di Fargate che vengono lanciate nei cluster AmazonECS. L'elenco seguente specifica cosa aspettarsi quando si abilita il security agent. GuardDuty

Impatto dell'attivazione del GuardDuty Security Agent
GuardDuty crea un endpoint e un gruppo di sicurezza nel cloud privato virtuale (VPC)

  • Quando distribuisci il GuardDuty security agent, GuardDuty creerà un VPC endpoint attraverso il quale il security agent invia gli eventi di runtime. GuardDuty

    Oltre all'VPCendpoint, crea GuardDuty anche un nuovo gruppo di sicurezza. Le regole in entrata (ingresso) controllano il traffico autorizzato a raggiungere le risorse associate al gruppo di sicurezza. GuardDuty aggiunge regole in entrata che corrispondono all'VPCCIDRintervallo della risorsa e si adatta anche quando l'intervallo cambia. CIDR Per ulteriori informazioni, consulta la sezione VPCCIDRrange nella Amazon VPC User Guide.

  • Utilizzo di agenti centralizzati VPC con agenti automatizzati: quando utilizzi la configurazione GuardDuty automatizzata degli agenti per un tipo di risorsa, GuardDuty creerà un VPC endpoint per tuo conto per tutti. VPCs Ciò include quella centralizzata VPC e parlata. VPCs GuardDutynon supporta la creazione di un VPC endpoint solo per utenti centralizzati. VPC Per ulteriori informazioni sul VPC funzionamento della soluzione centralizzata, consulta Interface VPC endpoints nel AWS Whitepaper - Building a Scalable and Secure Multi-Network Infrastructure. VPC AWS

  • Non sono previsti costi aggiuntivi per l'utilizzo dell'endpoint. VPC

GuardDuty aggiunge un contenitore sidecar

Per una nuova attività o servizio Fargate che inizia a funzionare, un GuardDuty container (sidecar) si collega a ciascun contenitore all'interno dell'attività Amazon Fargate. ECS L'agente GuardDuty di sicurezza viene eseguito all'interno del contenitore collegato. GuardDuty Questo aiuta GuardDuty a raccogliere gli eventi di runtime di ogni contenitore in esecuzione nell'ambito di queste attività.

Quando si avvia un'attività Fargate, se il GuardDuty contenitore (sidecar) non è in grado di avviarsi in uno stato integro, il Runtime Monitoring è progettato per non impedire l'esecuzione delle attività.

Per impostazione predefinita, un'attività Fargate è immutabile. GuardDuty non distribuirà il sidecar quando un'attività è già in esecuzione. Se desideri monitorare un contenitore in un'attività già in esecuzione, puoi interrompere l'attività e riavviarla.

Approcci alla gestione GuardDuty degli agenti di sicurezza nelle risorse di ECS Amazon-Fargate

Runtime Monitoring ti offre la possibilità di rilevare potenziali minacce alla sicurezza su tutti i ECS cluster Amazon (a livello di account) o sui cluster selettivi (a livello di cluster) del tuo account. Quando abiliti la configurazione automatizzata degli agenti per ogni attività Amazon ECS Fargate che verrà eseguita, GuardDuty aggiungerà un contenitore secondario per ogni carico di lavoro del container all'interno di tale attività. L'agente GuardDuty di sicurezza viene distribuito in questo contenitore secondario. In questo modo si GuardDuty ottiene visibilità sul comportamento di runtime dei contenitori all'interno delle ECS attività di Amazon.

Runtime Monitoring supporta la gestione del security agent per i tuoi ECS cluster Amazon (AWS Fargate) solo tramite GuardDuty. Non è disponibile alcun supporto per la gestione manuale del Security Agent sui ECS cluster Amazon.

Prima di configurare i tuoi account, valuta se desideri monitorare il comportamento di runtime di tutti i contenitori che appartengono alle ECS attività di Amazon o includere o escludere risorse specifiche. Considera i seguenti approcci.

Monitoraggio per tutti i ECS cluster Amazon

Questo approccio ti aiuterà a rilevare potenziali minacce alla sicurezza a livello di account. Utilizza questo approccio quando desideri rilevare potenziali minacce GuardDuty alla sicurezza per tutti i ECS cluster Amazon che appartengono al tuo account.

Escludi ECS cluster Amazon specifici

Utilizza questo approccio quando desideri rilevare potenziali minacce GuardDuty alla sicurezza per la maggior parte dei ECS cluster Amazon nel tuo AWS ambiente ma escluderne alcuni. Questo approccio ti aiuta a monitorare il comportamento di runtime dei container all'interno delle tue ECS attività Amazon a livello di cluster. Ad esempio, il numero di ECS cluster Amazon che appartengono al tuo account è 1000. Tuttavia, desideri monitorare solo 930 ECS cluster Amazon.

Questo approccio richiede l'aggiunta di un GuardDuty tag predefinito ai ECS cluster Amazon che non desideri monitorare. Per ulteriori informazioni, consulta Gestione dell'agente di sicurezza automatizzato per Fargate (solo AmazonECS).

Includi ECS cluster Amazon specifici

Utilizza questo approccio quando desideri GuardDuty rilevare potenziali minacce alla sicurezza per alcuni ECS cluster Amazon. Questo approccio ti aiuta a monitorare il comportamento di runtime dei container all'interno delle tue ECS attività Amazon a livello di cluster. Ad esempio, il numero di ECS cluster Amazon che appartengono al tuo account è 1000. Tuttavia, desideri monitorare solo 230 cluster.

Questo approccio richiede l'aggiunta di un GuardDuty tag predefinito ai ECS cluster Amazon che desideri monitorare. Per ulteriori informazioni, consulta Gestione dell'agente di sicurezza automatizzato per Fargate (solo AmazonECS).