Prerequisiti per il AWS Fargate supporto (ECSsolo Amazon) - Amazon GuardDuty
Convalida dei requisiti relativi all'architetturaFornisci ECR autorizzazioni e dettagli sulla sottoreteConvalida della politica di controllo dei servizi dell'organizzazioneCPUe limiti di memoria

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti per il AWS Fargate supporto (ECSsolo Amazon)

Questa sezione include i prerequisiti per il monitoraggio del comportamento di runtime delle risorse Fargate-AmazonECS. Una volta soddisfatti questi prerequisiti, vedere. Abilitazione GuardDuty del monitoraggio del runtime

Convalida dei requisiti relativi all'architettura

La piattaforma che utilizzi può influire sul modo GuardDuty in cui GuardDuty Security Agent supporta la ricezione degli eventi di runtime dai tuoi ECS cluster Amazon. Devi confermare di utilizzare una delle piattaforme verificate.

Considerazioni iniziali:

La AWS Fargate piattaforma per i tuoi ECS cluster Amazon deve essere Linux. La versione della piattaforma corrispondente deve essere almeno1.4.0, oLATEST. Per ulteriori informazioni sulle versioni della piattaforma, consulta le versioni della piattaforma Linux nella Amazon Elastic Container Service Developer Guide.

Le versioni della piattaforma Windows non sono ancora supportate.

Piattaforme verificate

La distribuzione e l'CPUarchitettura del sistema operativo influiscono sul supporto fornito dal GuardDuty security agent. La tabella seguente mostra la configurazione verificata per la distribuzione del GuardDuty security agent e la configurazione del Runtime Monitoring.

Distribuzione del sistema operativo1 Supporto del kernel Architettura CPU
x64 () AMD64 Gravitone () ARM64
Linux eBPF, Tracepoints, Kprobe Supportato Supportato

1 Supporto per vari sistemi operativi: GuardDuty ha verificato il supporto per l'utilizzo del Runtime Monitoring sui sistemi operativi elencati nella tabella precedente. Se si utilizza un sistema operativo diverso e si riesce a installare correttamente il Security Agent, è possibile ottenere tutto il valore di sicurezza previsto che GuardDuty è stato verificato e fornito con la distribuzione del sistema operativo elencata.

Fornisci ECR autorizzazioni e dettagli sulla sottorete

Prima di abilitare Runtime Monitoring, è necessario fornire i seguenti dettagli:

Fornisci un ruolo di esecuzione dell'attività con autorizzazioni

Il ruolo di esecuzione delle attività richiede che tu disponga di determinate autorizzazioni Amazon Elastic Container Registry (AmazonECR). Puoi utilizzare la politica mazonECSTask ExecutionRolePolicy gestita A o aggiungere le seguenti autorizzazioni alla tua TaskExecutionRole politica:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Per limitare ulteriormente le ECR autorizzazioni Amazon, puoi aggiungere il ECR repository Amazon URI che ospita il GuardDuty security agent per (ECSsolo AWS Fargate Amazon). Per ulteriori informazioni, consulta Repository per GuardDuty agente su AWS Fargate (ECSsolo Amazon).

Fornisci i dettagli della sottorete nella definizione dell'attività

Puoi fornire le sottoreti pubbliche come input nella definizione dell'attività o creare un endpoint Amazon ECRVPC.

  • Utilizzo dell'opzione di definizione delle attività: l'esecuzione di CreateServicee UpdateServiceAPIsin Amazon Elastic Container Service API Reference richiede il trasferimento delle informazioni sulla sottorete. Per ulteriori informazioni, consulta le definizioni delle ECS attività di Amazon nella Amazon Elastic Container Service Developer Guide.

  • Utilizzando l'opzione Amazon ECR VPC endpoint — Fornisci un percorso di rete ad Amazon ECR — Assicurati che il ECR repository Amazon URI che ospita il GuardDuty security agent sia accessibile dalla rete. Se le attività Fargate verranno eseguite in una sottorete privata, Fargate avrà bisogno del percorso di rete per scaricare il contenitore. GuardDuty

    Per informazioni su come abilitare Fargate a scaricare il GuardDuty contenitore, consulta Using Amazon ECRimages with Amazon ECS nella Amazon Elastic Container Registry User Guide.

Convalida della politica di controllo dei servizi dell'organizzazione

Questo passaggio è necessario per GuardDuty supportare il Runtime Monitoring e valutare la copertura tra diversi tipi di risorse.

Se avete impostato una policy di controllo del servizio (SCP) per gestire le autorizzazioni nella vostra organizzazione, verificate che il limite delle autorizzazioni non sia restrittivo nella vostra politica e guardduty:SendSecurityTelemetry nella relativa politica. TaskExecutionRole

La seguente politica è un esempio di autorizzazione della politica: guardduty:SendSecurityTelemetry

{
    "Version": "2012-10-17",
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [
                ...,
                ...,               
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

  1. Utilizza i seguenti passaggi per verificare che il limite delle autorizzazioni non sia soggetto a restrizioni: guardduty:SendSecurityTelemetry

    1. Accedi a AWS Management Console e apri la console all'indirizzo. IAM https://console.aws.amazon.com/iam/

    2. Nel riquadro di navigazione, in Gestione degli accessi, scegli Ruoli.

    3. Scegli il nome del ruolo per la pagina dei dettagli.

    4. Espandi la sezione Limiti delle autorizzazioni. Assicurati che non guardduty:SendSecurityTelemetry sia negato o limitato.

  2. Utilizza i seguenti passaggi per verificare che il limite delle autorizzazioni previsto dalla tua TaskExecutionRole politica non sia soggetto a restrizioni: guardduty:SendSecurityTelemetry

    1. Accedi a AWS Management Console e apri la console all'IAMindirizzo. https://console.aws.amazon.com/iam/

    2. Nel riquadro di navigazione, in Gestione degli accessi, scegli Politiche.

    3. Scegli il nome della politica per la pagina dei dettagli.

    4. Nella scheda Entità allegate, visualizza la sezione Allegato come limite di autorizzazioni. Assicurati che non guardduty:SendSecurityTelemetry sia negato o limitato.

Per informazioni sulle politiche e le autorizzazioni, consulta Limiti delle autorizzazioni nella Guida per l'IAMutente.

Se sei un account membro, connettiti con l'amministratore delegato associato. Per informazioni sulla gestione SCPs dell'organizzazione, consulta le politiche di controllo del servizio (SCPs).

CPUe limiti di memoria

Nella definizione dell'attività Fargate, è necessario specificare il valore CPU e la memoria a livello di attività. La tabella seguente mostra le combinazioni valide di valori a livello di attività e di memoria CPU e il limite massimo di memoria del GuardDuty Security Agent corrispondente per il contenitore. GuardDuty

CPU value Valore memoria GuardDuty limite massimo di memoria dell'agente

256 (2,5 v) CPU

512 MiB, 1 GB, 2 GB

128 MB

512 (0,5 v) CPU

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 v) CPU

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Tra 4 GB e 16 GB in incrementi di 1 GB

4096 (4 v) CPU

Tra 8 GB e 20 GB con incrementi di 1 GB

8192 (8 v) CPU

Tra 16 GB e 28 GB con incrementi di 4 GB

256 MB

Tra 32 GB e 60 GB con incrementi di 4 GB

512 MB

16384 (16 v) CPU

Tra 32 GB e 120 GB in incrementi di 8 GB

1 GB

Dopo aver abilitato il Runtime Monitoring e verificato che lo stato di copertura del cluster sia integro, puoi configurare e visualizzare le metriche di Container Insight. Per ulteriori informazioni, consulta Configurazione del monitoraggio sul ECS cluster Amazon.

Il passaggio successivo consiste nel configurare Runtime Monitoring e configurare anche il security agent.