Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de sécurité de Fargate dans Amazon ECS
Nous vous recommandons de prendre en compte les bonnes pratiques ci-dessous lorsque vous utilisez AWS Fargate. Pour obtenir des conseils supplémentaires, consultez la section Présentation de la sécurité de AWS Fargate
AWS KMS À utiliser pour chiffrer le stockage éphémère pour Fargate
Votre stockage éphémère doit être chiffré à l'aide de clés gérées par le client AWS KMS ou de vos propres clés. Pour les tâches hébergées sur Fargate à l'aide d'une 1.4.0 version de plateforme ou ultérieure, chaque tâche reçoit 20 GiB de stockage éphémère. Pour plus d'informations, consultez la section Clé gérée par le client (CMK). Vous pouvez augmenter la quantité totale de stockage éphémère, jusqu'à un maximum de 200 Gio, en spécifiant le paramètre ephemeralStorage dans votre définition de tâche. Pour les tâches lancées le 28 mai 2020 ou ultérieurement, le stockage éphémère est crypté à l'aide d'un algorithme de chiffrement AES-256 à l'aide d'une clé de chiffrement gérée par Fargate.
Pour plus d'informations, consultez la section Options de stockage pour les tâches Amazon ECS.
Exemple : lancement d'une tâche sur la plateforme Fargate version 1.4.0 avec chiffrement de stockage éphémère
La commande suivante lancera une tâche sur la version 1.4 de la plateforme Fargate. Comme cette tâche est lancée dans le cadre du cluster, elle utilise les 20 GiB de stockage éphémère qui sont automatiquement chiffrés.
aws ecs run-task --cluster clustername \ --task-definitiontaskdefinition:version\ --count 1 --launch-type "FARGATE" \ --platform-version 1.4.0 \ --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ --region region
Fonctionnalité SYS_PTRACE pour le suivi des appels système du noyau avec Fargate
La configuration par défaut des fonctionnalités Linux ajoutées ou supprimées de votre conteneur est fournie par Docker.
Les tâches lancées sur Fargate ne prennent en charge que l'ajout de la capacité du noyau SYS_PTRACE.
La vidéo suivante montre comment utiliser cette fonctionnalité dans le cadre du projet Sysdig Falco
Le code décrit dans la vidéo précédente se trouve GitHub ici
Utilisez Amazon GuardDuty avec Fargate Runtime Monitoring
Amazon GuardDuty est un service de détection des menaces qui aide à protéger vos comptes, vos conteneurs, vos charges de travail et les données de votre AWS environnement. À l'aide de modèles d'apprentissage automatique (ML) et de capacités de détection des anomalies et des menaces, vous surveillez GuardDuty en permanence les différentes sources de journaux et l'activité d'exécution afin d'identifier et de hiérarchiser les risques de sécurité potentiels et les activités malveillantes dans votre environnement.
La surveillance du temps d'exécution GuardDuty protège les charges de travail exécutées sur Fargate en AWS surveillant en permanence l'activité des journaux et du réseau afin d'identifier les comportements malveillants ou non autorisés. Runtime Monitoring utilise un agent de GuardDuty sécurité léger et entièrement géré qui analyse le comportement sur l'hôte, tel que l'accès aux fichiers, l'exécution des processus et les connexions réseau. Cela couvre des problèmes tels que l'augmentation des privilèges, l'utilisation d'informations d'identification divulguées ou la communication avec des adresses IP ou des domaines malveillants, ainsi que la présence de logiciels malveillants sur vos EC2 instances Amazon et vos charges de travail de conteneur. Pour plus d'informations, consultez la section Surveillance du temps GuardDuty d'exécution dans le guide de GuardDuty l'utilisateur.
