Verwenden einer gemeinsam genutzten VPC mit Runtime Monitoring - Amazon GuardDuty
FunktionsweiseVoraussetzungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden einer gemeinsam genutzten VPC mit Runtime Monitoring

GuardDuty Runtime Monitoring unterstützt die Nutzung der gemeinsam genutzten Amazon Virtual Private Cloud (Amazon VPC) für Sie AWS-Konten , die derselben Organisation angehören. AWS Organizations Sie können gemeinsam genutzte VPC auf zwei Arten verwenden:

  • Automatisierte Agentenkonfiguration (empfohlen) — Wenn der Security Agent GuardDuty automatisch verwaltet wird, konfiguriert er auch die Amazon VPC-Endpunktrichtlinie. Diese Richtlinie basiert auf den gemeinsamen VPC-Einstellungen Ihrer Organisation.

    Sie müssen die automatische Agentenkonfiguration im gemeinsamen VPC-Besitzerkonto und allen teilnehmenden Konten, die diese VPC gemeinsam nutzen, aktivieren.

  • Manuell verwalteter Agent — Wenn Sie den Security Agent manuell mit gemeinsam genutzter VPC verwalten, müssen Sie die VPC-Endpunktrichtlinie aktualisieren, damit entsprechende Konten auf die gemeinsam genutzte VPC zugreifen können. Dazu können Sie die Beispielrichtlinie verwenden, die im folgenden Abschnitt beschrieben wird. Funktionsweise

    Bei manuellen Verwaltungsszenarien mit teilnehmenden Konten für gemeinsam genutzte VPC ist der Deckungsstatus möglicherweise nicht korrekt. Um den up-to-date Schutz und den Deckungsstatus Ihrer Ressourcen sicherzustellen, GuardDuty empfiehlt es sich, die automatische Agentenkonfiguration für alle Konten zu aktivieren, die gemeinsam genutzte VPC verwenden.

Funktionsweise

Diejenigen AWS-Konten , die derselben Organisation angehören wie das gemeinsame Amazon VPC-Besitzerkonto, können sich auch denselben Amazon VPC-Endpunkt teilen. Jedes der Konten, die dieselbe Amazon VPC-Endpunktrichtlinie verwenden, wird als AWS Teilnehmerkonto der zugehörigen gemeinsamen Amazon VPC bezeichnet.

Das folgende Beispiel zeigt die Standard-VPC-Endpunktrichtlinie des gemeinsamen VPC-Besitzerkontos und des Teilnehmerkontos. Das aws:PrincipalOrgID zeigt die Organisations-ID an, die der gemeinsam genutzten VPC-Ressource zugeordnet ist. Die Verwendung dieser Richtlinie ist auf die Teilnehmerkonten beschränkt, die in der Organisation des Eigentümerkontos vorhanden sind.

Beispiel für eine gemeinsam genutzte VPC-Endpunktrichtlinie
{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
Mehr anzeigenWeniger anzeigen

Mit GuardDuty automatischer Agentenkonfiguration

Wenn das Besitzerkonto der gemeinsam genutzten VPC Runtime Monitoring und automatische Agentenkonfiguration für eine der Ressourcen (Amazon EKS oder AWS Fargate (nur Amazon ECS)) aktiviert, kommen alle gemeinsam genutzten VPCs Ressourcen für die automatische Installation des gemeinsamen Amazon VPC-Endpunkts und der zugehörigen Sicherheitsgruppe im gemeinsamen VPC-Eigentümerkonto in Frage. GuardDuty ruft die Organisations-ID ab, die mit der gemeinsam genutzten Amazon VPC verknüpft ist.

GuardDuty erstellt einen Amazon VPC-Endpunkt, wenn entweder das gemeinsame VPC-Eigentümerkonto oder das teilnehmende Konto ihn benötigt. Beispiele für die Notwendigkeit eines Amazon VPC-Endpunkts sind die Aktivierung GuardDuty, Runtime Monitoring, EKS Runtime Monitoring oder das Starten einer neuen Amazon ECS-Fargate-Aufgabe. Wenn diese Konten Runtime Monitoring und automatische Agentenkonfiguration für einen beliebigen Ressourcentyp aktivieren, GuardDuty wird ein Amazon VPC-Endpunkt erstellt und die Endpunktrichtlinie mit derselben Organisations-ID wie die des gemeinsamen VPC-Besitzerkontos festgelegt. GuardDuty fügt ein GuardDutyManaged Tag hinzu und setzt es true für den Amazon VPC-Endpunkt, der GuardDuty erstellt, auf. Wenn das gemeinsame Amazon VPC-Besitzerkonto weder Runtime Monitoring noch automatische Agentenkonfiguration für eine der Ressourcen aktiviert hat, GuardDuty wird die Amazon VPC-Endpunktrichtlinie nicht festgelegt. Informationen zur Konfiguration von Runtime Monitoring und zur automatischen Verwaltung des Security Agents im gemeinsamen VPC-Besitzerkonto finden Sie unter GuardDuty Laufzeitüberwachung aktivieren.

Verwendung mit einem manuell verwalteten Agenten

Wenn Sie eine gemeinsam genutzte VPC mit einem manuell verwalteten Agenten verwenden, stellen Sie sicher, dass es keine explizite Deny Endpunktrichtlinie gibt, die jedes Konto blockiert, das die gemeinsam genutzte VPC verwenden muss. Dadurch wird verhindert, dass der Security Agent Telemetriedaten an sendet GuardDuty, was zu einem Unhealthy Empfangsstatus führt. Informationen zum Einrichten der Endpunktrichtlinie finden Sie unterExample shared VPC endpoint policy.

In Szenarien wie fehlenden Berechtigungen für die gemeinsam genutzte VPC ist die Laufzeitabdeckung möglicherweise nicht korrekt. Sie können die Ressourcenabdeckung kontinuierlich überwachen, indem Sie die Schritte für Ihren Ressourcentyp befolgen. Überprüfung der Statistiken zur Laufzeitabdeckung und Behebung von Problemen

Um den kontinuierlichen Runtime Monitoring-Schutz Ihrer Rechenressourcen zu gewährleisten, GuardDuty empfiehlt es sich, die automatische Agentenkonfiguration für das gemeinsame VPC-Besitzerkonto und alle beteiligten Konten für Ihre Ressourcen zu aktivieren.

Voraussetzungen für die Verwendung von Shared VPC

Führen Sie im Rahmen der Ersteinrichtung die folgenden Schritte in dem aus AWS-Konto , dass Sie Eigentümer der gemeinsam genutzten VPC sein möchten:

  1. Organisation erstellen — Erstellen Sie eine Organisation, indem Sie die Schritte unter Organisation erstellen und verwalten im AWS Organizations Benutzerhandbuch befolgen.

    Informationen zum Hinzufügen oder Entfernen von Mitgliedskonten finden Sie unter Verwaltung AWS-Konten in Ihrer Organisation.

  2. Eine gemeinsam genutzte VPC-Ressource erstellen — Sie können eine gemeinsam genutzte VPC-Ressource über das Besitzerkonto erstellen. Weitere Informationen finden Sie unter Teilen Sie Ihre VPC-Subnetze mit anderen Konten im Amazon VPC-Benutzerhandbuch.

Spezifische Voraussetzungen für Runtime Monitoring GuardDuty

Die folgende Liste enthält die spezifischen Voraussetzungen für GuardDuty:

  • Das Besitzerkonto der gemeinsam genutzten VPC und das teilnehmende Konto können von verschiedenen Organisationen in GuardDuty stammen. Sie müssen jedoch derselben Organisation in AWS Organizations angehören. Dies ist erforderlich GuardDuty , um einen Amazon VPC-Endpunkt und eine Sicherheitsgruppe für die gemeinsam genutzte VPC zu erstellen. Informationen darüber, wie geteilte VPCs Arbeit funktioniert, finden Sie unter Teilen Sie Ihre VPC mit anderen Konten im Amazon VPC-Benutzerhandbuch.

  • Aktivieren Sie Runtime Monitoring oder EKS Runtime Monitoring und die GuardDuty automatische Agentenkonfiguration für jede Ressource im gemeinsamen VPC-Besitzerkonto und im Teilnehmerkonto. Weitere Informationen finden Sie unter Laufzeitüberwachung aktivieren.

    Wenn Sie diese Konfigurationen bereits abgeschlossen haben, fahren Sie mit dem nächsten Schritt fort.

  • Wenn Sie entweder mit einer Amazon EKS- oder einer Amazon ECS-Aufgabe (AWS Fargate nur) arbeiten, stellen Sie sicher, dass Sie die gemeinsam genutzte VPC-Ressource auswählen, die dem Besitzerkonto zugeordnet ist, und wählen Sie deren Subnetze aus.