Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Praktik terbaik keamanan Fargate di Amazon ECS
Kami menyarankan Anda mempertimbangkan praktik terbaik berikut saat Anda menggunakannya AWS Fargate. Untuk panduan tambahan, lihat [Ikhtisar keamanan AWS Fargate](https://d1.awsstatic.com/whitepapers/AWS_Fargate_Security_Overview_Whitepaper.pdf).
## Gunakan AWS KMS untuk mengenkripsi penyimpanan sementara untuk Fargate
Anda harus memiliki penyimpanan sementara Anda dienkripsi oleh salah satu AWS KMS atau kunci yang dikelola pelanggan Anda sendiri. Untuk tugas yang di-host di Fargate menggunakan versi platform `1.4.0` atau yang lebih baru, setiap tugas menerima 20 GiB penyimpanan sementara. Untuk informasi selengkapnya, lihat [kunci terkelola pelanggan (CMK)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/fargate-storage-encryption.html). Anda dapat meningkatkan jumlah total penyimpanan sementara, hingga maksimum 200 GiB, dengan menentukan `ephemeralStorage` parameter dalam definisi tugas Anda. Untuk tugas-tugas seperti itu yang diluncurkan pada 28 Mei 2020 atau lebih baru, penyimpanan sementara dienkripsi dengan algoritma enkripsi AES-256 menggunakan kunci enkripsi yang dikelola oleh Fargate.
Untuk informasi selengkapnya, lihat [Opsi penyimpanan untuk tugas Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/using_data_volumes.html).
**Contoh: Meluncurkan tugas di platform Fargate versi 1.4.0 dengan enkripsi penyimpanan singkat**
Perintah berikut akan meluncurkan tugas pada platform Fargate versi 1.4. Karena tugas ini diluncurkan sebagai bagian dari cluster, ia menggunakan 20 GiB penyimpanan sementara yang secara otomatis dienkripsi.
```
aws ecs run-task --cluster clustername \
--task-definition taskdefinition:version \
--count 1
--launch-type "FARGATE" \
--platform-version 1.4.0 \
--network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \
--region region
```
## Kemampuan SYS\$1PTRACE untuk penelusuran syscall kernel dengan Fargate
Konfigurasi default kemampuan Linux yang ditambahkan atau dihapus dari container Anda disediakan oleh Docker.
Tugas yang diluncurkan di Fargate hanya mendukung penambahan kemampuan `SYS_PTRACE` kernel.
Video berikut menunjukkan cara menggunakan fitur ini melalui proyek Sysdig [Falco](https://github.com/falcosecurity/falco).
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OYGKjmFeLqI)
Kode yang dibahas dalam video sebelumnya dapat ditemukan di GitHub [sini](https://github.com/paavan98pm/ecs-fargate-pv1.4-falco).
## Gunakan Amazon GuardDuty dengan Fargate Runtime Monitoring
Amazon GuardDuty adalah layanan deteksi ancaman yang membantu melindungi akun, wadah, beban kerja, dan data di AWS lingkungan Anda. Menggunakan model machine learning (ML), serta kemampuan deteksi anomali dan ancaman, GuardDuty terus memantau berbagai sumber log dan aktivitas runtime untuk mengidentifikasi dan memprioritaskan potensi risiko keamanan dan aktivitas berbahaya di lingkungan Anda.
Runtime Monitoring in GuardDuty melindungi beban kerja yang berjalan di Fargate dengan terus memantau aktivitas AWS log dan jaringan untuk mengidentifikasi perilaku berbahaya atau tidak sah. Runtime Monitoring menggunakan agen GuardDuty keamanan ringan yang dikelola sepenuhnya yang menganalisis perilaku on-host, seperti akses file, eksekusi proses, dan koneksi jaringan. Ini mencakup masalah termasuk peningkatan hak istimewa, penggunaan kredensil yang terbuka, atau komunikasi dengan alamat IP berbahaya, domain, dan keberadaan malware di instans Amazon EC2 dan beban kerja kontainer Anda. Untuk informasi selengkapnya, lihat [GuardDuty Runtime Monitoring](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring.html) di *Panduan GuardDuty Pengguna*.