Voraussetzungen für den Support AWS Fargate (nur Amazon ECS) - Amazon GuardDuty
Validierung der architektonischen AnforderungenVoraussetzungen für den Zugriff auf Container-ImagesValidierung der Service-Control-Richtlinie Ihres Unternehmens in einer Umgebung mit mehreren KontenÜberprüfung der Rollenberechtigungen und der Grenzen der RichtlinienberechtigungenCPU- und Arbeitsspeicherlimits

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für den Support AWS Fargate (nur Amazon ECS)

Dieser Abschnitt enthält die Voraussetzungen für die Überwachung des Laufzeitverhaltens Ihrer Fargate-Amazon ECS-Ressourcen. Wenn diese Voraussetzungen erfüllt sind, finden Sie weitere Informationen unter. GuardDuty Laufzeitüberwachung aktivieren

Validierung der architektonischen Anforderungen

Die von Ihnen verwendete Plattform kann sich darauf auswirken, wie der GuardDuty Security Agent GuardDuty den Empfang der Runtime-Ereignisse von Ihren Amazon ECS-Clustern unterstützt. Sie müssen bestätigen, dass Sie eine der verifizierten Plattformen verwenden.

Erste Überlegungen:

Die AWS Fargate Plattform für Ihre Amazon ECS-Cluster muss Linux sein. Die entsprechende Plattformversion muss mindestens1.4.0, oder seinLATEST. Weitere Informationen zu den Plattformversionen finden Sie unter Linux-Plattformversionen im Amazon Elastic Container Service Developer Guide.

Die Windows-Plattformversionen werden noch nicht unterstützt.

Verifizierte Plattformen

Die Betriebssystemverteilung und die CPU-Architektur wirken sich auf die Unterstützung durch den GuardDuty Security Agent aus. Die folgende Tabelle zeigt die verifizierte Konfiguration für die Installation des GuardDuty Security Agents und die Konfiguration von Runtime Monitoring.

Verteilung des Betriebssystems 1 Kernel-Unterstützung CPU-Architektur x64 () AMD64 CPU-Architektur Graviton () ARM64
Linux eBPF, Tracepoints, Kprobe Unterstützt Unterstützt

1 Support für verschiedene Betriebssysteme — GuardDuty hat die Runtime Monitoring-Unterstützung für die in der obigen Tabelle aufgeführte Betriebssystemdistribution verifiziert. Der GuardDuty Security Agent kann zwar auf Betriebssystemen ausgeführt werden, die in der obigen Tabelle nicht aufgeführt sind, aber das GuardDuty Team kann den erwarteten Sicherheitswert nicht garantieren.

Voraussetzungen für den Zugriff auf Container-Images

Die folgenden Voraussetzungen helfen Ihnen beim Zugriff auf das GuardDuty Sidecar-Container-Image aus dem Amazon ECR-Repository.

Berechtigungsanforderungen

Für die Aufgabenausführungsrolle sind bestimmte Amazon Elastic Container Registry (Amazon ECR) -Berechtigungen erforderlich, um das Container-Image des GuardDuty Security Agents herunterzuladen:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Um die Amazon ECR-Berechtigungen weiter einzuschränken, können Sie den Amazon ECR-Repository-URI hinzufügen, der den GuardDuty Security Agent für hostet AWS Fargate (nur Amazon ECS). Weitere Informationen finden Sie unter GuardDutyHosting-Agent für Amazon ECR Repositorys.

Sie können entweder die von Amazon ECSTask ExecutionRolePolicy verwaltete Richtlinie verwenden oder die oben genannten Berechtigungen zu Ihrer TaskExecutionRole Richtlinie hinzufügen.

Konfiguration der Aufgabendefinition

Wenn Sie Amazon ECS-Services erstellen oder aktualisieren, müssen Sie Subnetzinformationen in Ihrer Aufgabendefinition angeben:

Für die Ausführung von CreateServiceund UpdateService APIs in der Amazon Elastic Container Service API-Referenz müssen Sie die Subnetzinformationen übergeben. Weitere Informationen finden Sie unter Amazon ECS-Aufgabendefinitionen im Amazon Elastic Container Service Developer Guide.

Anforderungen an die Netzwerkkonnektivität

Sie müssen die Netzwerkkonnektivität sicherstellen, um das GuardDuty Container-Image von Amazon ECR herunterzuladen. Diese Anforderung ist spezifisch für, GuardDuty da das Unternehmen Amazon ECR verwendet, um seinen Sicherheitsagenten zu hosten. Abhängig von Ihrer Netzwerkkonfiguration müssen Sie eine der folgenden Optionen implementieren:

Option 1 — Nutzung des öffentlichen Netzwerkzugangs (falls verfügbar)

Wenn Ihre Fargate-Aufgaben in Subnetzen mit ausgehendem Internetzugang ausgeführt werden, ist keine zusätzliche Netzwerkkonfiguration erforderlich.

Option 2 — Verwendung von Amazon VPC-Endpunkten (für private Subnetze)

Wenn Ihre Fargate-Aufgaben in privaten Subnetzen ohne Internetzugang ausgeführt werden, müssen Sie VPC-Endpunkte für ECR konfigurieren, um sicherzustellen, dass der ECR-Repository-URI, der den Security Agent hostet, über das Netzwerk zugänglich ist. GuardDuty Ohne diese Endpunkte können Aufgaben in privaten Subnetzen das Container-Image nicht herunterladen. GuardDuty

Anweisungen zur Einrichtung von VPC-Endpunkten finden Sie unter Create the VPC Endpoints for Amazon ECR im Amazon Elastic Container Registry-Benutzerhandbuch.

Informationen darüber, wie Fargate den GuardDuty Container herunterladen kann, finden Sie unter Verwenden von Amazon ECR-Images mit Amazon ECS im Amazon Elastic Container Registry-Benutzerhandbuch.

Sicherheitsgruppenkonfiguration

Die GuardDuty Container-Images befinden sich in Amazon ECR und erfordern Amazon S3 S3-Zugriff. Diese Anforderung ist spezifisch für das Herunterladen von Container-Images von Amazon ECR. Für Aufgaben mit eingeschränktem Netzwerkzugriff müssen Sie Ihre Sicherheitsgruppen so konfigurieren, dass sie den Zugriff auf S3 zulassen.

Fügen Sie Ihrer Sicherheitsgruppe eine Regel für ausgehenden Datenverkehr hinzu, die den Datenverkehr zur Liste der verwalteten S3-Präfixe (pl-xxxxxxxx) an Port 443 zulässt. Informationen zum Hinzufügen einer ausgehenden Regel finden Sie unter Sicherheitsgruppenregeln konfigurieren im Amazon VPC-Benutzerhandbuch.

Informationen zur Anzeige Ihrer AWS verwalteten Präfixlisten in der Konsole oder zur Beschreibung mit AWS Command Line Interface (AWS CLI) finden Sie unter AWS-verwaltete Präfixlisten im Amazon VPC-Benutzerhandbuch.

Validierung der Service-Control-Richtlinie Ihres Unternehmens in einer Umgebung mit mehreren Konten

In diesem Abschnitt wird erklärt, wie Sie Ihre SCP-Einstellungen (Service Control Policy) validieren, um sicherzustellen, dass Runtime Monitoring in Ihrer gesamten Organisation erwartungsgemäß funktioniert.

Wenn Sie eine oder mehrere Service Control-Richtlinien zur Verwaltung von Berechtigungen in Ihrer Organisation eingerichtet haben, müssen Sie sicherstellen, dass die guardduty:SendSecurityTelemetry Aktion nicht verweigert wird. Informationen zur Funktionsweise SCPs finden Sie unter SCP-Evaluierung im AWS Organizations Benutzerhandbuch.

Wenn Sie ein Mitgliedskonto sind, stellen Sie eine Verbindung mit dem zugehörigen delegierten Administrator her. Informationen zur Verwaltung SCPs für Ihr Unternehmen finden Sie unter Richtlinien zur Servicesteuerung (SCPs) im AWS Organizations Benutzerhandbuch.

Führen Sie die folgenden Schritte für alle aus SCPs , die Sie in Ihrer Umgebung mit mehreren Konten eingerichtet haben:

Die Validierung guardduty:SendSecurityTelemetry ist in SCP nicht verweigert

  1. Melden Sie sich in der Organisationskonsole unter an https://console.aws.amazon.com/organizations/. Sie müssen sich als IAM-Rolle oder als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie im linken Navigationsbereich Policies (Richtlinien). Wählen Sie dann unter Unterstützte Richtlinientypen die Option Dienststeuerungsrichtlinien aus.

  3. Wählen Sie auf der Seite Service Control-Richtlinien den Namen der Richtlinie aus, die Sie validieren möchten.

  4. Sehen Sie sich auf der Detailseite der Richtlinie den Inhalt dieser Richtlinie an. Stellen Sie sicher, dass die guardduty:SendSecurityTelemetry Aktion nicht verweigert wird.

    Die folgende SCP-Richtlinie ist ein Beispiel dafür, wie die Aktion nicht verweigert werden kann: guardduty:SendSecurityTelemetry

    {
    "Version": "2012-10-17",
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [
                ...,
                ...,               
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

    Wenn Ihre Richtlinie diese Aktion ablehnt, müssen Sie die Richtlinie aktualisieren. Weitere Informationen finden Sie unter Aktualisieren einer Service-Kontrollrichtlinie (SCP) im AWS Organizations -Benutzerhandbuch.

Überprüfung der Rollenberechtigungen und der Grenzen der Richtlinienberechtigungen

Gehen Sie wie folgt vor, um zu überprüfen, ob die mit der Rolle und der zugehörigen Richtlinie verknüpften Berechtigungsgrenzen nicht die guardduty:SendSecurityTelemetry Aktion einschränken.

So zeigen Sie die Berechtigungsgrenzen für Rollen und deren Richtlinie an

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich unter Zugriffsverwaltung die Option Rollen aus.

  3. Wählen Sie auf der Seite Rollen die Rolle ausTaskExecutionRole, die Sie möglicherweise erstellt haben.

  4. Erweitern Sie auf der Seite der ausgewählten Rolle auf der Registerkarte Berechtigungen den mit dieser Rolle verknüpften Richtliniennamen. Stellen Sie anschließend sicher, dass diese Richtlinie keine Einschränkungen vorsiehtguardduty:SendSecurityTelemetry.

  5. Wenn die Grenze für Berechtigungen festgelegt ist, erweitern Sie diesen Abschnitt. Erweitern Sie dann jede Richtlinie, um sicherzustellen, dass sie die guardduty:SendSecurityTelemetry Aktion nicht einschränkt. Die Richtlinie sollte in etwa so aussehenExample SCP policy.

    Führen Sie bei Bedarf eine der folgenden Aktionen aus:

    • Um die Richtlinie zu ändern, wählen Sie Bearbeiten aus. Aktualisieren Sie auf der Seite „Berechtigungen ändern“ für diese Richtlinie die Richtlinie im Richtlinien-Editor. Stellen Sie sicher, dass das JSON-Schema gültig bleibt. Wählen Sie anschließend Weiter. Anschließend können Sie die Änderungen überprüfen und speichern.

    • Um diese Berechtigungsgrenze zu ändern und eine andere Grenze auszuwählen, wählen Sie Grenze ändern.

    • Um diese Berechtigungsgrenze zu entfernen, wählen Sie Grenze entfernen aus.

    Informationen zur Verwaltung von Richtlinien finden Sie unter Richtlinien und Berechtigungen AWS Identity and Access Management im IAM-Benutzerhandbuch.

CPU- und Arbeitsspeicherlimits

In der Fargate-Aufgabendefinition müssen Sie den CPU- und Speicherwert auf Taskebene angeben. Die folgende Tabelle zeigt die gültigen Kombinationen von CPU- und Speicherwerten auf Taskebene sowie die entsprechende maximale Speicherbegrenzung des GuardDuty Security Agents für den Container. GuardDuty

CPU-Wert Speicherwert GuardDuty maximale Speicherbegrenzung des Agents

256 (0,25 vCPU)

512 MiB, 1 GB, 2 GB

128 MB

512 (0,5 vCPU)

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 vCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Zwischen 4 GB und 16 GB in 1-GB-Schritten

4096 (4 vCPU)

Zwischen 8 GB und 20 GB in Schritten von 1 GB

8 192 (8 vCPU)

Zwischen 16 GB und 28 GB in Schritten von 4 GB

256 MB

Zwischen 32 GB und 60 GB in Schritten von 4 GB

512 MB

16384 (16 vCPU)

Zwischen 32 GB und 120 GB in 8-GB-Schritten

1 GB

Nachdem Sie Runtime Monitoring aktiviert und festgestellt haben, dass der Abdeckungsstatus Ihres Clusters fehlerfrei ist, können Sie die Container Insight-Metriken einrichten und anzeigen. Weitere Informationen finden Sie unter Überwachung auf dem Amazon ECS-Cluster einrichten.

Der nächste Schritt besteht darin, Runtime Monitoring und auch den Security Agent zu konfigurieren.