Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS) - Amazon GuardDuty
Enfoques al administrar el agente de seguridad de GuardDuty en los recursos de Amazon ECS-Fargate.

Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS)

Cuando se habilita la supervisión en tiempo de ejecución, GuardDuty queda listo para consumir los eventos en tiempo de ejecución de una tarea. Estas tareas se ejecutan dentro de los clústeres de Amazon ECS, que a su vez se ejecutan en las instancias de AWS Fargate. Para que GuardDuty reciba estos eventos en tiempo de ejecución, es necesario utilizar el agente de seguridad dedicado completamente administrado.

nota

Runtime Monitoring no admite aplicaciones que se ejecuten en instancias administradas por Amazon ECS.

Puede permitir que GuardDuty administre el agente de seguridad de GuardDuty en su nombre, mediante la configuración automatizada del agente para una cuenta o una organización de AWS. GuardDuty comenzará a implementar el agente de seguridad en las nuevas tareas de Fargate que se lancen en los clústeres de Amazon ECS. En la siguiente lista se especifica lo que se puede esperar al habilitar el agente de seguridad de GuardDuty.

Repercusiones de habilitar el agente de seguridad de GuardDuty
GuardDuty crea un punto de conexión de nube privada virtual (VPC) y un grupo de seguridad

  • Cuando se implementa el agente de seguridad de GuardDuty, GuardDuty creará un punto de conexión de VPC a través del cual el agente de seguridad entrega los eventos en tiempo de ejecución a GuardDuty.

    Junto con el punto de conexión de la VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC correspondiente al recurso, a la vez que se adapta cuando el rango de CIDR cambia. Para obtener más información, consulte Rango de CIDR de la VPC en la Guía del usuario de Amazon VPC.

  • Utilizar una VPC centralizada con agente automatizado: cuando se utiliza la configuración de agente automatizado de GuardDuty para un tipo de recurso, GuardDuty creará un punto de conexión de VPC en su nombre para todas las VPC. Esto incluye la VPC centralizada y las VPC de radio. GuardDuty no admite la creación de un punto de conexión de VPC únicamente para la VPC centralizada. Para obtener más información sobre cómo funciona la VPC centralizada, consulte Puntos de conexión de VPC de interfaz en el documento técnico de AWS: Creación de una infraestructura de red de AWS de múltiples VPC escalable y segura.

  • El uso del punto de conexión de VPC no conlleva ningún costo adicional.

GuardDuty agrega un contenedor sidecar

En el caso de una nueva tarea o servicio de Fargate que se comienza a ejecutar, un contenedor de GuardDuty (sidecar) se asocia a cada contenedor dentro de la tarea de Amazon ECS Fargate. El agente de seguridad de GuardDuty se ejecuta dentro del contenedor de GuardDuty asociado. Esto ayuda a GuardDuty a recopilar los eventos en tiempo de ejecución de cada contenedor que se ejecuta dentro de estas tareas.

La imagen del contenedor sidecar de GuardDuty se almacena en Amazon Elastic Container Registry (Amazon ECR) y las capas de imágenes se almacenan en Amazon S3. Cuando comience la tarea, necesitará extraer esta imagen del ECR. Según la configuración de la red, esto puede requerir ajustes específicos para garantizar el acceso tanto al ECR como al S3. Por ejemplo, si se utilizan grupos de seguridad con acceso restringido, se tendrá que permitir el acceso a la lista de prefijos administrados de S3. Para obtener más información acerca de cómo hacerlo, consulte Requisitos previos para el acceso a imágenes de contenedores.

Cuando se inicia una tarea de Fargate, si el contenedor de GuardDuty (sidecar) no se puede lanzar en buen estado, la supervisión en tiempo de ejecución por diseño no impedirá que se ejecuten las tareas.

Las tareas de Fargate son inmutables de forma predeterminada. GuardDuty no implementará el sidecar cuando una tarea ya se encuentre en estado de ejecución. Si desea supervisar un contenedor en una tarea que ya está en ejecución, puede detener la tarea e iniciarla de nuevo.

Enfoques al administrar el agente de seguridad de GuardDuty en los recursos de Amazon ECS-Fargate.

La supervisión en tiempo de ejecución brinda la opción de detectar posibles amenazas a la seguridad en todos los clústeres de Amazon ECS (nivel de cuenta) o en clústeres concretos (nivel de clúster) en la cuenta. Cuando se habilita la configuración automatizada del agente para cada tarea de Amazon ECS Fargate que se ejecutará, GuardDuty agregará un contenedor sidecar para cada carga de trabajo de contenedor dentro de esa tarea. El agente de seguridad de GuardDuty se implementa en este contenedor sidecar. De este modo, GuardDuty obtiene visibilidad del comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS.

La supervisión en tiempo de ejecución permite administrar el agente de seguridad de los clústeres de Amazon ECS (AWS Fargate) únicamente a través de GuardDuty. No se admite la administración manual del agente de seguridad en los clústeres de Amazon ECS.

Antes de configurar las cuentas, valore si desea supervisar el comportamiento en tiempo de ejecución de todos los contenedores que pertenecen a las tareas de Amazon ECS, o incluir o excluir recursos específicos. Tenga en cuenta los siguientes enfoques.

Supervisión de todos los clústeres de Amazon ECS

Este enfoque ayudará a detectar posibles amenazas a la seguridad a nivel de cuenta. Utilice este enfoque cuando desee que GuardDuty detecte posibles amenazas de seguridad para todos los clústeres de Amazon ECS pertenecientes a la cuenta.

Exclusión de clústeres de Amazon ECS específicos

Utilice este enfoque cuando desee que GuardDuty detecte posibles amenazas de seguridad para la mayoría de los clústeres de Amazon ECS del entorno de AWS, pero excluya algunos de los clústeres. Este enfoque ayuda a supervisar el comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS a nivel de clúster. Por ejemplo, la cantidad de clústeres de Amazon ECS que pertenecen a la cuenta es 1000. Sin embargo, solo desea supervisar 930 clústeres de Amazon ECS.

Este enfoque exige agregar una etiqueta de GuardDuty predefinida a los clústeres de Amazon ECS que no desea supervisar. Para obtener más información, consulte Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS).

Incluir clústeres de Amazon ECS específicos

Utilice este enfoque cuando desee que GuardDuty detecte posibles amenazas de seguridad para algunos de los clústeres de Amazon ECS. Este enfoque ayuda a supervisar el comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS a nivel de clúster. Por ejemplo, la cantidad de clústeres de Amazon ECS que pertenecen a la cuenta es 1000. Sin embargo, solo desea supervisar 230 clústeres.

Este enfoque exige agregar una etiqueta predefinida de GuardDuty a los clústeres de Amazon ECS que desea supervisar. Para obtener más información, consulte Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS).