Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS) - Amazon GuardDuty
Enfoques para administrar los agentes GuardDuty de seguridad en los recursos de Amazon ECS-Fargate

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona la supervisión en tiempo de ejecución con Fargate (solo Amazon ECS)

Cuando habilitas Runtime Monitoring, GuardDuty estará listo para consumir los eventos de tiempo de ejecución de una tarea. Estas tareas se ejecutan dentro de los clústeres de Amazon ECS, que a su vez se ejecutan en las AWS Fargate instancias. GuardDuty Para recibir estos eventos de tiempo de ejecución, debe usar el agente de seguridad dedicado y totalmente administrado.

Puede GuardDuty permitir la administración del agente GuardDuty de seguridad en su nombre mediante la configuración automática del agente para una AWS cuenta o una organización. GuardDuty empezará a implementar el agente de seguridad en las nuevas tareas de Fargate que se lanzan en sus clústeres de Amazon ECS. La siguiente lista especifica qué esperar al habilitar el agente de GuardDuty seguridad.

Impacto de habilitar el agente GuardDuty de seguridad
GuardDuty crea un grupo de seguridad y punto final de nube privada virtual (VPC)

  • Al implementar el agente de GuardDuty seguridad, GuardDuty creará un punto final de VPC a través del cual el agente de seguridad envía los eventos de tiempo de ejecución. GuardDuty

    Junto con el punto final de la VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada (entrada) controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC del recurso y también se adapta a él cuando cambia el rango CIDR. Para obtener más información, consulte Rango de CIDR de la VPC en la Guía del usuario de Amazon VPC.

  • Trabajar con una VPC centralizada con un agente automatizado: cuando utilice la configuración de agente GuardDuty automatizada para un tipo de recurso, GuardDuty se creará un punto final de VPC en su nombre para todos los. VPCs Esto incluye la VPC centralizada y los radios. VPCs GuardDutyno admite la creación de un punto final de VPC solo para la VPC centralizada. Para obtener más información sobre el funcionamiento de la VPC centralizada, consulte Interface VPC endpoints en el AWS documento técnico: Creación de una infraestructura de red multiVPC escalable y segura. AWS

  • El uso del punto de conexión de VPC no conlleva ningún costo adicional.

GuardDuty añade un contenedor con sidecar

Para una nueva tarea o servicio de Fargate que comience a ejecutarse, se adjunta un GuardDuty contenedor (sidecar) a cada contenedor de la tarea Fargate de Amazon ECS. El agente de GuardDuty seguridad se encuentra dentro del contenedor adjunto. GuardDuty Esto ayuda GuardDuty a recopilar los eventos de tiempo de ejecución de cada contenedor que se ejecuta dentro de estas tareas.

La imagen del contenedor GuardDuty sidecar se almacena en Amazon Elastic Container Registry (Amazon ECR) y sus capas de imágenes se almacenan en Amazon S3. Cuando comience la tarea, necesitará extraer esta imagen del ECR. Según la configuración de la red, esto puede requerir ajustes específicos para garantizar el acceso tanto al ECR como al S3. Por ejemplo, si utiliza grupos de seguridad con acceso restringido, tendrá que permitir el acceso a la lista de prefijos gestionados de S3. Para obtener más información acerca de cómo hacerlo, consulte Requisitos previos para el acceso a las imágenes del contenedor.

Cuando inicias una tarea de Fargate, si el GuardDuty contenedor (sidecar) no puede iniciarse en buen estado, Runtime Monitoring está diseñado para no impedir que las tareas se ejecuten.

De forma predeterminada, las tareas de Fargate son inmutables. GuardDuty no desplegará el sidecar cuando una tarea ya esté en ejecución. Si desea supervisar un contenedor en una tarea que ya está en ejecución, puede detener la tarea e iniciarla de nuevo.

Enfoques para administrar los agentes GuardDuty de seguridad en los recursos de Amazon ECS-Fargate

La supervisión en tiempo de ejecución brinda la opción de detectar posibles amenazas a la seguridad en todos los clústeres de Amazon ECS (nivel de cuenta) o en clústeres concretos (nivel de clúster) en la cuenta. Al habilitar la configuración automática de agentes para cada tarea de Amazon ECS Fargate que se vaya a ejecutar, GuardDuty añadirá un contenedor sidecar para cada carga de trabajo de contenedores incluida en esa tarea. El agente GuardDuty de seguridad se despliega en este contenedor de sidecar. Así es como GuardDuty obtiene visibilidad del comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS.

Runtime Monitoring permite administrar el agente de seguridad para sus clústeres de Amazon ECS (AWS Fargate) únicamente a través de GuardDuty. No se admite la administración manual del agente de seguridad en los clústeres de Amazon ECS.

Antes de configurar las cuentas, valore si desea supervisar el comportamiento en tiempo de ejecución de todos los contenedores que pertenecen a las tareas de Amazon ECS, o incluir o excluir recursos específicos. Tenga en cuenta los siguientes enfoques.

Supervisión de todos los clústeres de Amazon ECS

Este enfoque ayudará a detectar posibles amenazas a la seguridad a nivel de cuenta. Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para todos los clústeres de Amazon ECS que pertenecen a su cuenta.

Exclusión de clústeres de Amazon ECS específicos

Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para la mayoría de los clústeres de Amazon ECS de su AWS entorno, pero excluya algunos de ellos. Este enfoque ayuda a supervisar el comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS a nivel de clúster. Por ejemplo, la cantidad de clústeres de Amazon ECS que pertenecen a la cuenta es 1000. Sin embargo, solo desea supervisar 930 clústeres de Amazon ECS.

Este enfoque requiere que añada una GuardDuty etiqueta predefinida a los clústeres de Amazon ECS que no desee supervisar. Para obtener más información, consulte Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS).

Incluir clústeres de Amazon ECS específicos

Utilice este enfoque cuando desee GuardDuty detectar posibles amenazas de seguridad para algunos de los clústeres de Amazon ECS. Este enfoque ayuda a supervisar el comportamiento en tiempo de ejecución de los contenedores dentro de las tareas de Amazon ECS a nivel de clúster. Por ejemplo, la cantidad de clústeres de Amazon ECS que pertenecen a la cuenta es 1000. Sin embargo, solo desea supervisar 230 clústeres.

Este enfoque requiere que añada una GuardDuty etiqueta predefinida a los clústeres de Amazon ECS que desee supervisar. Para obtener más información, consulte Administrar el agente de seguridad automatizado para Fargate (solo Amazon ECS).