Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pratiques exemplaires en matière de sécurité Fargate dans Amazon ECS
Nous vous recommandons de prendre en compte les bonnes pratiques ci-dessous lorsque vous utilisez AWS Fargate. Pour obtenir des conseils supplémentaires, consultez la section Présentation de la sécurité de AWS Fargate
AWS KMS À utiliser pour chiffrer le stockage éphémère pour Fargate
Votre stockage éphémère doit être chiffré à l'aide de clés gérées par le client AWS KMS ou de vos propres clés. Pour les tâches hébergées sur Fargate à l’aide de la version de plateforme 1.4.0 ou ultérieure, chaque tâche bénéficie de 20 Gio de stockage éphémère. Pour plus d’informations, consultez la section Clé gérée par le client (CMK). Vous pouvez augmenter la quantité totale de stockage éphémère, jusqu'à un maximum de 200 Gio, en spécifiant le paramètre ephemeralStorage dans votre définition de tâche. Pour les tâches lancées le 28 mai 2020 ou plus tard, le stockage éphémère est chiffré à l’aide d’un algorithme de chiffrement AES-256 avec une clé de chiffrement gérée par Fargate.
Pour plus d’informations, consultez la section Options de stockage pour les tâches Amazon ECS.
Exemple : lancement d’une tâche sur la version de plateforme Fargate 1.4.0 avec chiffrement du stockage éphémère
La commande suivante lancera une tâche Amazon ECS sur la version de plateforme Fargate 1.4. Cette tâche étant lancée dans le cadre du cluster, elle utilise les 20 Gio de stockage éphémère qui sont automatiquement soumis au chiffrement.
aws ecs run-task --cluster clustername \ --task-definitiontaskdefinition:version\ --count 1 --launch-type "FARGATE" \ --platform-version 1.4.0 \ --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ --region region
Fonctionnalité SYS_PTRACE pour le suivi des appels système du noyau avec Fargate
La configuration par défaut des fonctionnalités Linux ajoutées ou supprimées de votre conteneur est fournie par Docker.
Les tâches lancées sur Fargate ne prennent en charge que l'ajout de la capacité du noyau SYS_PTRACE.
La vidéo suivante montre comment utiliser cette fonctionnalité via le projet Sysdig Falco
Le code décrit dans la vidéo précédente se trouve GitHub ici
Utilisez Amazon GuardDuty avec Fargate Runtime Monitoring
Amazon GuardDuty est un service de détection des menaces qui aide à protéger vos comptes, vos conteneurs, vos charges de travail et les données de votre AWS environnement. À l'aide de modèles d'apprentissage automatique (ML) et de capacités de détection des anomalies et des menaces, vous surveillez GuardDuty en permanence les différentes sources de journaux et l'activité d'exécution afin d'identifier et de hiérarchiser les risques de sécurité potentiels et les activités malveillantes dans votre environnement.
La surveillance du temps d'exécution GuardDuty protège les charges de travail exécutées sur Fargate en AWS surveillant en permanence l'activité des journaux et du réseau afin d'identifier les comportements malveillants ou non autorisés. Runtime Monitoring utilise un agent de GuardDuty sécurité léger et entièrement géré qui analyse le comportement sur l'hôte, tel que l'accès aux fichiers, l'exécution des processus et les connexions réseau. Cela couvre des problèmes tels que l'augmentation des privilèges, l'utilisation d'informations d'identification divulguées ou la communication avec des adresses IP ou des domaines malveillants, ainsi que la présence de logiciels malveillants sur vos EC2 instances Amazon et vos charges de travail de conteneur. Pour plus d'informations, consultez la section Surveillance du temps GuardDuty d'exécution dans le guide de GuardDuty l'utilisateur.
