Conditions requises pour le AWS Fargate support (Amazon ECS uniquement) - Amazon GuardDuty
Validation des exigences architecturalesConditions préalables à l'accès aux images du conteneurValidation de la politique de contrôle des services de votre organisation dans un environnement multi-comptesValidation des autorisations des rôles et des limites des autorisations politiquesLimites de processeur et de mémoire

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conditions requises pour le AWS Fargate support (Amazon ECS uniquement)

Cette section inclut les conditions préalables à la surveillance du comportement d'exécution de vos ressources Fargate-Amazon ECS. Une fois ces conditions préalables remplies, voirActiver la surveillance du GuardDuty temps d'exécution.

Validation des exigences architecturales

La plate-forme que vous utilisez peut avoir un impact sur GuardDuty la manière dont l'agent de sécurité prend GuardDuty en charge la réception des événements d'exécution de vos clusters Amazon ECS. Vous devez confirmer que vous utilisez l'une des plateformes vérifiées.

Considérations initiales :

La AWS Fargate plate-forme de vos clusters Amazon ECS doit être Linux. La version de plateforme correspondante doit être au moins1.4.0, ouLATEST. Pour plus d'informations sur les versions de la plateforme, consultez la section Versions de la plateforme Linux dans le manuel Amazon Elastic Container Service Developer Guide.

Les versions de la plateforme Windows ne sont pas encore prises en charge.

Plateformes vérifiées

La distribution du système d'exploitation et l'architecture du processeur ont un impact sur le support fourni par l'agent GuardDuty de sécurité. Le tableau suivant présente la configuration vérifiée pour le déploiement de l'agent de GuardDuty sécurité et la configuration de la surveillance du temps d'exécution.

Distribution du système d'exploitation 1 Support du noyau Architecture du processeur x64 (AMD64) Architecture du processeur Graviton () ARM64
Linux eBPF, Tracepoints, Kprobe Pris en charge Pris en charge

1 Support pour différents systèmes d'exploitation : la prise en charge de la surveillance du temps d'exécution GuardDuty a été vérifiée pour la distribution d'exploitation répertoriée dans le tableau précédent. Bien que l'agent GuardDuty de sécurité puisse s'exécuter sur des systèmes d'exploitation non répertoriés dans le tableau précédent, l' GuardDuty équipe ne peut garantir la valeur de sécurité attendue.

Conditions préalables à l'accès aux images du conteneur

Les prérequis suivants vous permettent d'accéder à l'image du conteneur du GuardDuty sidecar depuis le référentiel Amazon ECR.

Conditions d'autorisation

Le rôle d'exécution des tâches nécessite certaines autorisations Amazon Elastic Container Registry (Amazon ECR) pour télécharger l'image du conteneur de GuardDuty l'agent de sécurité :

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Pour restreindre davantage les autorisations Amazon ECR, vous pouvez ajouter l'URI du référentiel Amazon ECR qui héberge l'agent GuardDuty de sécurité pour ( AWS Fargate Amazon ECS uniquement). Pour de plus amples informations, veuillez consulter Agent d'hébergement GuardDuty de référentiels Amazon ECR.

Vous pouvez soit utiliser la politique ECSTask ExecutionRolePolicy gérée par Amazon, soit ajouter les autorisations ci-dessus à votre TaskExecutionRole politique.

Configuration de la définition des tâches

Lorsque vous créez ou mettez à jour des services Amazon ECS, vous devez fournir des informations de sous-réseau dans votre définition de tâche :

Pour exécuter le CreateServiceet UpdateService APIs dans la référence d'API Amazon Elastic Container Service, vous devez transmettre les informations du sous-réseau. Pour plus d'informations, consultez les définitions des tâches Amazon ECS dans le manuel Amazon Elastic Container Service Developer Guide.

Exigences en matière de connectivité réseau

Vous devez vous assurer de la connectivité réseau pour télécharger l'image du GuardDuty conteneur depuis Amazon ECR. Cette exigence est spécifique au GuardDuty fait qu'il utilise Amazon ECR pour héberger son agent de sécurité. En fonction de la configuration de votre réseau, vous devez implémenter l'une des options suivantes :

Option 1 - Utilisation de l'accès au réseau public (si disponible)

Si vos tâches Fargate s'exécutent dans des sous-réseaux dotés d'un accès Internet sortant, aucune configuration réseau supplémentaire n'est requise.

Option 2 - Utilisation des points de terminaison Amazon VPC (pour les sous-réseaux privés)

Si vos tâches Fargate s'exécutent dans des sous-réseaux privés sans accès à Internet, vous devez configurer les points de terminaison VPC pour l'ECR afin de garantir que l'URI du référentiel ECR hébergeant l'agent de sécurité est accessible au réseau. GuardDuty Sans ces points de terminaison, les tâches des sous-réseaux privés ne peuvent pas télécharger l'image du GuardDuty conteneur.

Pour les instructions de configuration des points de terminaison VPC, consultez la section Création des points de terminaison VPC pour Amazon ECR dans le guide de l'utilisateur d'Amazon Elastic Container Registry.

Pour plus d'informations sur l'activation de Fargate pour télécharger GuardDuty le conteneur, consultez la section Utilisation des images Amazon ECR avec Amazon ECS dans le guide de l'utilisateur d'Amazon Elastic Container Registry.

Configuration du groupe de sécurité

Les images du GuardDuty conteneur se trouvent dans Amazon ECR et nécessitent un accès Amazon S3. Cette exigence est spécifique au téléchargement d'images de conteneurs depuis Amazon ECR. Pour les tâches dont l'accès au réseau est restreint, vous devez configurer vos groupes de sécurité pour autoriser l'accès à S3.

Ajoutez une règle sortante dans votre groupe de sécurité qui autorise le trafic vers la liste de préfixes gérés S3 (pl-xxxxxxxx) sur le port 443. Pour ajouter une règle sortante, consultez la section Configurer les règles des groupes de sécurité dans le guide de l'utilisateur Amazon VPC.

Pour consulter vos listes de AWS préfixes gérées dans la console ou les décrire en utilisant AWS Command Line Interface (AWS CLI), consultez les listes de préfixes AWS gérées par -dans le guide de l'utilisateur Amazon VPC.

Validation de la politique de contrôle des services de votre organisation dans un environnement multi-comptes

Cette section explique comment valider les paramètres de votre politique de contrôle des services (SCP) afin de garantir que la surveillance du temps d'exécution fonctionne comme prévu au sein de votre organisation.

Si vous avez défini une ou plusieurs politiques de contrôle des services pour gérer les autorisations au sein de votre organisation, vous devez vérifier qu'elle ne refuse pas l'guardduty:SendSecurityTelemetryaction. Pour plus d'informations sur le SCPs fonctionnement, voir l'évaluation du SCP dans le guide de l'AWS Organizations utilisateur.

Si vous êtes un compte membre, connectez-vous à l'administrateur délégué associé. Pour plus d'informations sur la gestion SCPs de votre organisation, voir Politiques de contrôle des services (SCPs) dans le Guide de AWS Organizations l'utilisateur.

Procédez comme suit pour tout SCPs ce que vous avez configuré dans votre environnement multi-comptes :

guardduty:SendSecurityTelemetryLa validation n'est pas refusée dans SCP

  1. Connectez-vous à la console Organizations à l'adresse https://console.aws.amazon.com/organizations/. Vous devez vous connecter en tant que rôle IAM ou en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.

  2. Dans le panneau de navigation, sélectionnez Policies (politiques). Ensuite, sous Types de politiques pris en charge, sélectionnez Politiques de contrôle des services.

  3. Sur la page Politiques de contrôle des services, choisissez le nom de la politique que vous souhaitez valider.

  4. Sur la page détaillée de la politique, consultez le contenu de cette politique. Assurez-vous qu'il ne refuse pas l'guardduty:SendSecurityTelemetryaction.

    La politique SCP suivante est un exemple pour ne pas nier l'guardduty:SendSecurityTelemetryaction :

    {
    "Version": "2012-10-17",
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [
                ...,
                ...,               
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

    Si votre politique refuse cette action, vous devez la mettre à jour. Pour plus d’informations, consultez Mise à jour d’une politique de contrôle des services (SCP) dans le Guide de l’utilisateur AWS Organizations .

Validation des autorisations des rôles et des limites des autorisations politiques

Suivez les étapes suivantes pour vérifier que les limites d'autorisations associées au rôle et à sa politique ne limitent pas l'guardduty:SendSecurityTelemetryaction.

Pour afficher la limite des autorisations pour les rôles et sa politique

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation de gauche, sous Gestion des accès, sélectionnez Rôles.

  3. Sur la page Rôles, sélectionnez le rôle TaskExecutionRole que vous avez peut-être créé.

  4. Sur la page du rôle sélectionné, sous l'onglet Autorisations, développez le nom de la politique associée à ce rôle. Vérifiez ensuite que cette politique ne restreint pasguardduty:SendSecurityTelemetry.

  5. Si la limite des autorisations est définie, développez cette section. Ensuite, développez chaque politique pour vérifier qu'elle ne limite pas l'guardduty:SendSecurityTelemetryaction. La politique doit ressembler à celaExample SCP policy.

    Le cas échéant, effectuez l'une des actions suivantes :

    • Pour modifier la politique, sélectionnez Modifier. Sur la page Modifier les autorisations pour cette politique, mettez-la à jour dans l'éditeur de stratégie. Assurez-vous que le schéma JSON reste valide. Ensuite, choisissez Suivant. Vous pouvez ensuite consulter et enregistrer les modifications.

    • Pour modifier cette limite d'autorisations et en choisir une autre, choisissez Modifier la limite.

    • Pour supprimer cette limite d'autorisations, choisissez Supprimer la limite.

    Pour plus d'informations sur la gestion des politiques, consultez la section Politiques et autorisations AWS Identity and Access Management dans le guide de l'utilisateur IAM.

Limites de processeur et de mémoire

Dans la définition de la tâche Fargate, vous devez spécifier la valeur du processeur et de la mémoire au niveau de la tâche. Le tableau suivant indique les combinaisons valides de valeurs de processeur et de mémoire au niveau des tâches, ainsi que la limite de mémoire maximale de l'agent de GuardDuty sécurité correspondant pour le GuardDuty conteneur.

Valeur d'UC Valeur de mémoire GuardDuty limite de mémoire maximale de l'agent

256 (0,25 vCPU)

512 MiB, 1 Go, 2 Go

128 Mo

512 (0,5 vCPU)

1 Go, 2 Go, 3 Go, 4 Go

1 024 (1 vCPU)

2 GO, 3 GO, 4 GO

5 GO, 6 GO, 7 GO, 8 GO

2 048 (2 vCPU)

Entre 4 Go et 16 Go par incréments de 1 Go

4 096 (4 vCPU)

Entre 8 Go et 20 Go par incréments de 1 Go

8192 (8 vCPU)

Entre 16 Go et 28 Go par incréments de 4 Go

256 Mo

Entre 32 Go et 60 Go par incréments de 4 Go

512 Mo

16384 (16 vCPU)

Entre 32 Go et 120 Go par incréments de 8 Go

1 Go

Après avoir activé la surveillance du temps d'exécution et vérifié que l'état de couverture de votre cluster est sain, vous pouvez configurer et consulter les métriques Container Insight. Pour plus d’informations, consultez Configuration de la surveillance sur le cluster Amazon ECS.

L'étape suivante consiste à configurer la surveillance du temps d'exécution ainsi que l'agent de sécurité.