Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS) - Amazon GuardDuty
Validación de los requisitos de arquitecturaRequisitos previos para el acceso a imágenes de contenedoresValidación de la política de control de servicios de la organización en un entorno de varias cuentasValidación de permisos de roles y límites de permisos de políticasLímites de CPU y memoria

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS)

En esta sección se incluyen los requisitos previos para supervisar el comportamiento en tiempo de ejecución de los recursos de ECS de Fargate-Amazon. Una vez cumplidos estos requisitos previos, consulte Habilitación GuardDuty de la supervisión del tiempo.

Validación de los requisitos de arquitectura

La plataforma que utilice puede afectar a la forma GuardDuty en que el agente GuardDuty de seguridad admite la recepción de los eventos de tiempo de ejecución de sus clústeres de Amazon ECS. Debe validar que esté utilizando una de las plataformas verificadas.

Consideraciones iniciales:

La AWS Fargate plataforma de los clústeres de Amazon ECS debe ser Linux. La versión de plataforma correspondiente debe ser como mínimo 1.4.0, o LATEST. Para obtener más información sobre las versiones de plataforma, consulte Versiones de plataforma Linux en la Guía para desarrolladores de Amazon Elastic Container Service.

Aún no se admiten las versiones de la plataforma Windows.

Plataformas verificadas

La distribución del sistema operativo y la arquitectura de la CPU afectan al soporte que proporciona el agente GuardDuty de seguridad. En la siguiente tabla se muestra la configuración verificada para implementar el agente GuardDuty de seguridad y configurar Runtime Monitoring.

Distribución del sistema operativo 1 Compatibilidad del kernel Arquitectura de CPU x64 () AMD64 Arquitectura de CPU Graviton () ARM64
Linux eBPF, Tracepoints, Kprobe Soportado compatible

1 Support para varios sistemas operativos: GuardDuty ha verificado el soporte de Runtime Monitoring para la distribución operativa indicada en la tabla anterior. Si bien el agente de GuardDuty seguridad puede funcionar en sistemas operativos que no figuran en la tabla anterior, el GuardDuty equipo no puede garantizar el valor de seguridad esperado.

Requisitos previos para el acceso a imágenes de contenedores

Los siguientes requisitos previos le ayudan a acceder a la imagen del contenedor GuardDuty sidecar desde el repositorio de Amazon ECR.

Requisitos de los permisos

La función de ejecución de tareas requiere determinados permisos de Amazon Elastic Container Registry (Amazon ECR) para descargar GuardDuty la imagen del contenedor del agente de seguridad:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Para restringir aún más los permisos de Amazon ECR, puede añadir el URI del repositorio de Amazon ECR que aloja el agente de GuardDuty seguridad para (solo AWS Fargate Amazon ECS). Para obtener más información, consulte Agente de alojamiento GuardDuty de repositorios Amazon ECR.

Puedes usar la política ECSTask ExecutionRolePolicy gestionada por Amazon o añadir los permisos anteriores a tu TaskExecutionRole política.

Configuración de definición de tareas

Al crear o actualizar los servicios de Amazon ECS, debe proporcionar información de subred en la definición de la tarea:

Para ejecutar CreateServicey UpdateService APIs en la referencia de la API de Amazon Elastic Container Service, es necesario pasar la información de la subred. Para obtener más información, consulte las definiciones de tareas de Amazon ECS en la Guía para desarrolladores de Amazon Elastic Container Service.

Requisitos de conectividad de red

Debe garantizar la conectividad de red para descargar la imagen del GuardDuty contenedor de Amazon ECR. Este requisito es específico GuardDuty porque utiliza Amazon ECR para alojar su agente de seguridad. En función de la configuración de red, tendrá que implementar una de las siguientes opciones:

Opción 1: usar el acceso a la red pública (si está disponible)

Si sus tareas de Fargate se ejecutan en subredes con acceso a Internet saliente, no es necesaria ninguna configuración de red adicional.

Opción 2: Uso de puntos de conexión de Amazon VPC (para subredes privadas)

Si sus tareas de Fargate se ejecutan en subredes privadas sin acceso a Internet, debe configurar los puntos finales de VPC para ECR a fin de garantizar que el URI del repositorio de ECR que aloja el agente de seguridad sea accesible desde la red. GuardDuty Sin estos puntos de conexión, las tareas de las subredes privadas no pueden descargar la imagen del contenedor. GuardDuty

Para obtener instrucciones sobre la configuración del punto de conexión de VPC, consulte Crear los puntos de conexión de VPC para Amazon ECR en la Guía del usuario de Amazon Elastic Container Registry.

Para obtener información sobre cómo permitir que Fargate descargue el GuardDuty contenedor, consulte Uso de imágenes de Amazon ECR con Amazon ECS en la Guía del usuario de Amazon Elastic Container Registry.

Configuración del grupo de seguridad

Las imágenes del GuardDuty contenedor están en Amazon ECR y requieren acceso a Amazon S3. Este requisito es específico para descargar imágenes de contenedores de Amazon ECR. En el caso de las tareas con acceso restringido a la red, debe configurar sus grupos de seguridad para permitir el acceso a S3.

Agregue una regla de salida a su grupo de seguridad que permita el tráfico a la lista de prefijos administrados de S3 (pl-xxxxxxxx) en el puerto 443. Para agregar una regla de salida, consulte Configurar las reglas de un grupo de seguridad en la Guía del usuario de Amazon VPC.

Para ver sus listas de AWS prefijos administradas en la consola o describirlas mediante AWS Command Line Interface (AWS CLI), consulte las listas de prefijos AWS administradas en la Guía del usuario de Amazon VPC.

Validación de la política de control de servicios de la organización en un entorno de varias cuentas

En esta sección, se explica cómo validar la configuración de la política de control de servicio (SCP) para garantizar que Runtime Monitoring funcione según lo esperado en toda la organización.

Si ha configurado una o más políticas de control de servicio para administrar los permisos en la organización, debe validar que no niegue la acción guardduty:SendSecurityTelemetry. Para obtener información sobre cómo SCPs funciona, consulte la evaluación de SCP en la Guía del usuario.AWS Organizations

Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte las políticas de control de servicios (SCPs) en la Guía del AWS Organizations usuario.

Realice los siguientes pasos para todo lo SCPs que haya configurado en su entorno de cuentas múltiples:

La validación de guardduty:SendSecurityTelemetry no se deniega en SCP

  1. Inicie sesión en la consola de Organizations en https://console.aws.amazon.com/organizations/. Debe iniciar sesión como rol de IAM o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación izquierdo, seleccione Policies (Políticas). A continuación, en Tipos de políticas compatibles, seleccione Políticas de control de servicios.

  3. En la página Políticas de control de servicios, elija el nombre de la política que desea adjuntar.

  4. En la página de detalles de la política, consulte el contenido de esta política. Asegúrese de que no deniegue la acción guardduty:SendSecurityTelemetry.

    La siguiente política de SCP es un ejemplo para no denegar la acción guardduty:SendSecurityTelemetry:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [           
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

    Si su política deniega esta acción, debe actualizarla. Para obtener más información, consulte Actualización de una política de control de servicio (SCP) en la Guía del usuario de AWS Organizations .

Validación de permisos de roles y límites de permisos de políticas

Siga los siguientes pasos para validar que los límites de permisos asociados al rol y a su política no impliquen la acción guardduty:SendSecurityTelemetry de restricción.

Para ver los límites de permisos de los roles y su política

  1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, en Administración del acceso, elija Roles.

  3. En la página Roles, seleccione el rol TaskExecutionRole que acaba de crear.

  4. En la página del rol seleccionado, en la pestaña Permisos, amplía el nombre de la política asociada a este rol. A continuación, verifique que esta política no restrinja guardduty:SendSecurityTelemetry.

  5. Si el límite de permisos está establecido, amplíe esta sección. A continuación, amplíe cada política para comprobar que no restrinja la acción guardduty:SendSecurityTelemetry. El aspecto de la respuesta debe ser parecido a Example SCP policy.

    Si es necesario, lleve a cabo una de las siguientes acciones:

    • Para modificar la política, seleccione Editar. En la página Modificar los permisos de esta política, actualice la política en el editor de políticas. Asegúrese de que el esquema JSON siga siendo válido. A continuación, elija Siguiente. A continuación, puede revisar y guardar los cambios.

    • Para cambiar este límite de permisos y elegir otro límite, elija Cambiar límite.

    • Para eliminar este límite de permisos, seleccione Eliminar límite.

    Para obtener más información sobre las políticas de IAM, consulte Políticas y permisos en AWS Identity and Access Management en la Guía del usuario de IAM.

Límites de CPU y memoria

En la definición de la tarea de Fargate, debe especificar el valor de CPU y memoria a nivel de tarea. La siguiente tabla muestra las combinaciones válidas de valores de CPU y memoria a nivel de tarea y el límite máximo de memoria del agente de GuardDuty seguridad correspondiente al contenedor. GuardDuty

Valor de CPU Valor de memoria GuardDuty límite máximo de memoria del agente

256 (0,25 vCPU)

512 MiB, 1 GB, 2 GB

128 MB

512 (0,5 vCPU)

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 vCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Entre 4 GB y 16 GB en incrementos de 1 GB

4096 (4 vCPU)

Entre 8 GB y 20 GB en incrementos de 1 GB

8192 (8 vCPU)

Entre 16 GB y 28 GB en incrementos de 4 GB

256 MB

Entre 32 GB y 60 GB en incrementos de 4 GB

512 MB

16384 (16 vCPU)

Entre 32 GB y 120 GB en incrementos de 8 GB

1 GB

Después de habilitar la Supervisión en tiempo de ejecución y evaluar que la cobertura del clúster esté en buen estado, podrá configurar y ver las métricas de Información de contenedores. Para obtener más información, Configurar la supervisión en el clúster de Amazon ECS.

El siguiente paso consiste en configurar la Supervisión en tiempo de ejecución, así como el agente de seguridad.