Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS) - Amazon GuardDuty
Validación de los requisitos de arquitecturaRequisitos previos para el acceso a las imágenes del contenedorValidar la política de control de servicios de su organización en un entorno de múltiples cuentasValidar los permisos de los roles y el límite de los permisos de la políticaLímites de CPU y memoria

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para la compatibilidad AWS Fargate (solo con Amazon ECS)

En esta sección se incluyen los requisitos previos para supervisar el comportamiento en tiempo de ejecución de los recursos de ECS de Fargate-Amazon. Una vez cumplidos estos requisitos previos, consulte Habilitación GuardDuty de la supervisión del tiempo.

Validación de los requisitos de arquitectura

La plataforma que utilice puede afectar a la forma GuardDuty en que el agente GuardDuty de seguridad admite la recepción de los eventos de tiempo de ejecución de sus clústeres de Amazon ECS. Debe validar que esté utilizando una de las plataformas verificadas.

Consideraciones iniciales:

La AWS Fargate plataforma de los clústeres de Amazon ECS debe ser Linux. La versión de plataforma correspondiente debe ser como mínimo 1.4.0, o LATEST. Para obtener más información sobre las versiones de plataforma, consulte Versiones de plataforma Linux en la Guía para desarrolladores de Amazon Elastic Container Service.

Aún no se admiten las versiones de la plataforma Windows.

Plataformas verificadas

La distribución del sistema operativo y la arquitectura de la CPU afectan al soporte que proporciona el agente GuardDuty de seguridad. En la siguiente tabla se muestra la configuración verificada para implementar el agente GuardDuty de seguridad y configurar Runtime Monitoring.

Distribución del sistema operativo 1 Compatibilidad del kernel Arquitectura de CPU x64 () AMD64 Arquitectura de CPU Graviton () ARM64
Linux eBPF, Tracepoints, Kprobe Soportado Compatible

1 Support para varios sistemas operativos: GuardDuty ha verificado el soporte de Runtime Monitoring para la distribución operativa indicada en la tabla anterior. Si bien el agente de GuardDuty seguridad puede funcionar en sistemas operativos que no figuran en la tabla anterior, el GuardDuty equipo no puede garantizar el valor de seguridad esperado.

Requisitos previos para el acceso a las imágenes del contenedor

Los siguientes requisitos previos le ayudan a acceder a la imagen del contenedor GuardDuty sidecar desde el repositorio de Amazon ECR.

Requisitos de los permisos

La función de ejecución de tareas requiere determinados permisos de Amazon Elastic Container Registry (Amazon ECR) para descargar GuardDuty la imagen del contenedor del agente de seguridad:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Para restringir aún más los permisos de Amazon ECR, puede añadir el URI del repositorio de Amazon ECR que aloja el agente de GuardDuty seguridad para (solo AWS Fargate Amazon ECS). Para obtener más información, consulte Agente de alojamiento GuardDuty de repositorios Amazon ECR.

Puedes usar la política ECSTask ExecutionRolePolicy gestionada por Amazon o añadir los permisos anteriores a tu TaskExecutionRole política.

Definición y configuración de tareas

Al crear o actualizar los servicios de Amazon ECS, debe proporcionar información de subred en la definición de la tarea:

Para ejecutar CreateServicey UpdateService APIs en la referencia de la API de Amazon Elastic Container Service, es necesario pasar la información de la subred. Para obtener más información, consulte las definiciones de tareas de Amazon ECS en la Guía para desarrolladores de Amazon Elastic Container Service.

Requisitos de conectividad de red

Debe garantizar la conectividad de red para descargar la imagen del GuardDuty contenedor de Amazon ECR. Este requisito es específico GuardDuty porque utiliza Amazon ECR para alojar su agente de seguridad. Según la configuración de la red, debe implementar una de las siguientes opciones:

Opción 1: usar el acceso a la red pública (si está disponible)

Si sus tareas de Fargate se ejecutan en subredes con acceso a Internet saliente, no es necesaria ninguna configuración de red adicional.

Opción 2: Uso de puntos de enlace de Amazon VPC (para subredes privadas)

Si sus tareas de Fargate se ejecutan en subredes privadas sin acceso a Internet, debe configurar los puntos finales de VPC para ECR a fin de garantizar que el URI del repositorio de ECR que aloja el agente de seguridad sea accesible desde la red. GuardDuty Sin estos puntos de conexión, las tareas de las subredes privadas no pueden descargar la imagen del contenedor. GuardDuty

Para obtener instrucciones de configuración de puntos de enlace de VPC, consulte Creación de puntos de enlace de VPC para Amazon ECR en la Guía del usuario de Amazon Elastic Container Registry.

Para obtener información sobre cómo permitir que Fargate descargue el GuardDuty contenedor, consulte Uso de imágenes de Amazon ECR con Amazon ECS en la Guía del usuario de Amazon Elastic Container Registry.

Configuración del grupo de seguridad

Las imágenes del GuardDuty contenedor están en Amazon ECR y requieren acceso a Amazon S3. Este requisito es específico para la descarga de imágenes de contenedores de Amazon ECR. En el caso de las tareas con acceso restringido a la red, debe configurar sus grupos de seguridad para permitir el acceso a S3.

Agregue una regla de salida a su grupo de seguridad que permita el tráfico a la lista de prefijos gestionados de S3 (pl-xxxxxxxx) en el puerto 443. Para añadir una regla de salida, consulte Configurar reglas de grupos de seguridad en la Guía del usuario de Amazon VPC.

Para ver sus listas de AWS prefijos administradas en la consola o describirlas mediante AWS Command Line Interface (AWS CLI), consulte las listas de prefijos AWS administradas en la Guía del usuario de Amazon VPC.

Validar la política de control de servicios de su organización en un entorno de múltiples cuentas

En esta sección, se explica cómo validar la configuración de la política de control de servicios (SCP) para garantizar que Runtime Monitoring funcione según lo esperado en toda la organización.

Si ha configurado una o más políticas de control de servicios para administrar los permisos en su organización, debe comprobar que no deniegan la guardduty:SendSecurityTelemetry acción. Para obtener información sobre cómo SCPs funciona, consulte la evaluación del SCP en la Guía del AWS Organizations usuario.

Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre la administración SCPs de su organización, consulte las políticas de control de servicios (SCPs) en la Guía del AWS Organizations usuario.

Realice los siguientes pasos para todo lo SCPs que haya configurado en su entorno de cuentas múltiples:

guardduty:SendSecurityTelemetryLa validación no se deniega en SCP

  1. Inicie sesión en la consola de Organizations en https://console.aws.amazon.com/organizations/. Debe iniciar sesión con un rol de IAM o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En el panel de navegación izquierdo, seleccione Policies (Políticas). A continuación, en Tipos de políticas compatibles, selecciona Políticas de control de servicios.

  3. En la página Políticas de control de servicios, elige el nombre de la política que deseas validar.

  4. En la página de detalles de la política, consulta el contenido de esta política. Asegúrese de que no deniegue la guardduty:SendSecurityTelemetry acción.

    La siguiente política de SCP es un ejemplo para no denegar la guardduty:SendSecurityTelemetry acción:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [
                ...,
                ...,               
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

    Si su política deniega esta acción, debe actualizarla. Para obtener más información, consulte Actualización de una política de control de servicio (SCP) en la Guía del usuario de AWS Organizations .

Validar los permisos de los roles y el límite de los permisos de la política

Siga los siguientes pasos para validar que los límites de permisos asociados al rol y su política no impliquen la guardduty:SendSecurityTelemetry acción de restricción.

Para ver los límites de permisos de los roles y su política

  1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, en Administración del acceso, elija Roles.

  3. En la página Funciones, seleccione la función TaskExecutionRole que haya creado.

  4. En la página del rol seleccionado, en la pestaña Permisos, expanda el nombre de la política asociada a este rol. A continuación, compruebe que esta política no restrinjaguardduty:SendSecurityTelemetry.

  5. Si el límite de permisos está establecido, amplíe esta sección. A continuación, amplíe cada política para comprobar que no restrinja la guardduty:SendSecurityTelemetry acción. La política debería tener un aspecto similar al siguienteExample SCP policy.

    Si es necesario, lleve a cabo una de las siguientes acciones:

    • Para modificar la política, seleccione Editar. En la página Modificar los permisos de esta política, actualice la política en el editor de políticas. Asegúrese de que el esquema JSON siga siendo válido. A continuación, elija Siguiente. A continuación, puede revisar y guardar los cambios.

    • Para cambiar este límite de permisos y elegir otro límite, elija Cambiar límite.

    • Para eliminar este límite de permisos, seleccione Eliminar límite.

    Para obtener información sobre la administración de políticas, consulte Políticas y permisos AWS Identity and Access Management en la Guía del usuario de IAM.

Límites de CPU y memoria

En la definición de la tarea de Fargate, debe especificar el valor de CPU y memoria a nivel de tarea. La siguiente tabla muestra las combinaciones válidas de valores de CPU y memoria a nivel de tarea y el límite máximo de memoria del agente de GuardDuty seguridad correspondiente para el contenedor. GuardDuty

Valor de CPU Valor de memoria GuardDuty límite máximo de memoria del agente

256 (0,25 vCPU)

512 MiB, 1 GB, 2 GB

128 MB

512 (0,5 vCPU)

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 vCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Entre 4 GB y 16 GB en incrementos de 1 GB

4096 (4 vCPU)

Entre 8 GB y 20 GB en incrementos de 1 GB

8192 (8 vCPU)

Entre 16 GB y 28 GB en incrementos de 4 GB

256 MB

Entre 32 GB y 60 GB en incrementos de 4 GB

512 MB

16384 (16 vCPU)

Entre 32 GB y 120 GB en incrementos de 8 GB

1 GB

Después de habilitar la Supervisión en tiempo de ejecución y evaluar que la cobertura del clúster esté en buen estado, podrá configurar y ver las métricas de Información de contenedores. Para obtener más información, Configurar la supervisión en el clúster de Amazon ECS.

El siguiente paso consiste en configurar la Supervisión en tiempo de ejecución, así como el agente de seguridad.