Prasyarat untuk dukungan (khusus AWS Fargate Amazon ECS) - Amazon GuardDuty
Memvalidasi persyaratan arsitekturPrasyarat untuk akses gambar kontainerMemvalidasi kebijakan kontrol layanan organisasi Anda di lingkungan multi-akunMemvalidasi izin peran dan batas izin kebijakanBatas CPU dan memori

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prasyarat untuk dukungan (khusus AWS Fargate Amazon ECS)

Bagian ini mencakup prasyarat untuk memantau perilaku runtime sumber daya Fargate-Amazon ECS Anda. Setelah prasyarat ini terpenuhi, lihat. Mengaktifkan GuardDuty Runtime Monitoring

Memvalidasi persyaratan arsitektur

Platform yang Anda gunakan dapat memengaruhi cara agen GuardDuty keamanan mendukung GuardDuty dalam menerima peristiwa runtime dari kluster Amazon ECS Anda. Anda harus memvalidasi bahwa Anda menggunakan salah satu platform terverifikasi.

Pertimbangan awal:

AWS Fargate Platform untuk cluster Amazon ECS Anda harus Linux. Versi platform yang sesuai harus setidaknya1.4.0, atauLATEST. Untuk informasi selengkapnya tentang versi platform, lihat versi platform Linux di Panduan Pengembang Layanan Amazon Elastic Container.

Versi platform Windows belum didukung.

Platform terverifikasi

Distribusi OS dan arsitektur CPU berdampak pada dukungan yang diberikan oleh agen GuardDuty keamanan. Tabel berikut menunjukkan konfigurasi terverifikasi untuk menerapkan agen GuardDuty keamanan dan mengonfigurasi Runtime Monitoring.

Distribusi OS 1 Dukungan kernel Arsitektur CPU x64 () AMD64 Arsitektur CPU Graviton () ARM64
Linux eBPF, Tracepoints, Kprobe Didukung Didukung

1 Support untuk berbagai sistem operasi - GuardDuty telah memverifikasi dukungan Runtime Monitoring untuk distribusi operasi yang tercantum dalam tabel sebelumnya. Sementara agen GuardDuty keamanan dapat berjalan pada sistem operasi yang tidak tercantum dalam tabel sebelumnya, GuardDuty tim tidak dapat menjamin nilai keamanan yang diharapkan.

Prasyarat untuk akses gambar kontainer

Prasyarat berikut membantu Anda mengakses gambar GuardDuty kontainer sespan dari repositori Amazon ECR.

Persyaratan izin

Peran eksekusi tugas memerlukan izin Amazon Elastic Container Registry (Amazon ECR) tertentu untuk mengunduh GuardDuty gambar kontainer agen keamanan:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Untuk lebih membatasi izin Amazon ECR, Anda dapat menambahkan URI repositori Amazon ECR yang menampung GuardDuty agen keamanan untuk ( AWS Fargate hanya Amazon ECS). Untuk informasi selengkapnya, lihat Agen hosting repositori Amazon ECR GuardDuty.

Anda dapat menggunakan kebijakan ECSTask ExecutionRolePolicy terkelola Amazon atau menambahkan izin di atas ke TaskExecutionRole kebijakan Anda.

Konfigurasi definisi tugas

Saat membuat atau memperbarui layanan Amazon ECS, Anda perlu memberikan informasi subnet dalam definisi tugas Anda:

Menjalankan CreateServicedan UpdateService APIs di Amazon Elastic Container Service API Reference mengharuskan Anda untuk meneruskan informasi subnet. Untuk informasi selengkapnya, lihat definisi tugas Amazon ECS di Panduan Pengembang Layanan Kontainer Elastis Amazon.

Persyaratan konektivitas jaringan

Anda harus memastikan konektivitas jaringan untuk mengunduh gambar GuardDuty kontainer dari Amazon ECR. Persyaratan ini khusus untuk GuardDuty karena menggunakan Amazon ECR untuk meng-host agen keamanannya. Bergantung pada konfigurasi jaringan Anda, Anda perlu menerapkan salah satu opsi berikut:

Opsi 1 - Menggunakan akses jaringan publik (jika tersedia)

Jika tugas Fargate Anda berjalan di subnet dengan akses internet keluar, tidak diperlukan konfigurasi jaringan tambahan.

Opsi 2 - Menggunakan titik akhir Amazon VPC (untuk subnet pribadi)

Jika tugas Fargate Anda berjalan di subnet pribadi tanpa akses internet, Anda harus mengonfigurasi titik akhir VPC untuk ECR guna memastikan bahwa URI repositori ECR yang menampung agen keamanan dapat diakses jaringan. GuardDuty Tanpa titik akhir ini, tugas dalam subnet pribadi tidak dapat mengunduh gambar GuardDuty kontainer.

Untuk petunjuk penyiapan titik akhir VPC, lihat Membuat titik akhir VPC untuk Amazon ECR di Panduan Pengguna Amazon Elastic Container Registry.

Untuk informasi tentang mengaktifkan Fargate mengunduh GuardDuty penampung, lihat Menggunakan gambar Amazon ECR dengan Amazon ECS di Panduan Pengguna Amazon Elastic Container Registry.

Konfigurasi grup keamanan

Gambar GuardDuty kontainer ada di Amazon ECR dan memerlukan akses Amazon S3. Persyaratan ini khusus untuk mengunduh gambar kontainer dari Amazon ECR. Untuk tugas dengan akses jaringan terbatas, Anda harus mengonfigurasi grup keamanan Anda untuk mengizinkan akses ke S3.

Tambahkan aturan keluar di grup keamanan Anda yang memungkinkan lalu lintas ke daftar awalan terkelola S3 (pl-xxxxxxxx) pada port 443. Untuk menambahkan aturan keluar, lihat Mengonfigurasi aturan grup keamanan di Panduan Pengguna Amazon VPC.

Untuk melihat daftar awalan AWS-managed di konsol atau mendeskripsikannya dengan menggunakan AWS Command Line Interface (AWS CLI), lihat daftar awalan AWS-managed di Panduan Pengguna Amazon VPC.

Memvalidasi kebijakan kontrol layanan organisasi Anda di lingkungan multi-akun

Bagian ini menjelaskan cara memvalidasi setelan kebijakan kontrol layanan (SCP) Anda untuk memastikan Runtime Monitoring berfungsi seperti yang diharapkan di seluruh organisasi Anda.

Jika Anda telah menyiapkan satu atau beberapa kebijakan kontrol layanan untuk mengelola izin di organisasi, Anda harus memvalidasi bahwa kebijakan tersebut tidak menolak tindakan tersebutguardduty:SendSecurityTelemetry. Untuk informasi tentang cara SCPs kerja, lihat evaluasi SCP di Panduan AWS Organizations Pengguna.

Jika Anda adalah akun anggota, sambungkan dengan administrator yang didelegasikan terkait. Untuk informasi tentang mengelola SCPs organisasi Anda, lihat Kebijakan kontrol layanan (SCPs) di Panduan AWS Organizations Pengguna.

Lakukan langkah-langkah berikut untuk semua SCPs yang telah Anda atur di lingkungan multi-akun Anda:

Untuk memvalidasi guardduty:SendSecurityTelemetry tidak ditolak di SCP

  1. Masuk ke konsol Organizations di https://console.aws.amazon.com/organizations/. Anda harus masuk sebagai peran IAM, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pada panel navigasi sebelah kiri, pilih Kebijakan. Kemudian, di bawah Jenis kebijakan yang didukung, pilih Kebijakan kontrol layanan.

  3. Pada halaman Kebijakan kontrol layanan, pilih nama kebijakan yang ingin Anda validasi.

  4. Pada halaman detail kebijakan, lihat Konten kebijakan ini. Pastikan bahwa itu tidak menyangkal guardduty:SendSecurityTelemetry tindakan.

    Kebijakan SCP berikut adalah contoh untuk tidak menyangkal tindakan: guardduty:SendSecurityTelemetry

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [           
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

    Jika kebijakan Anda menolak tindakan ini, Anda harus memperbarui kebijakan tersebut. Untuk informasi selengkapnya, lihat Memperbarui kebijakan kontrol layanan (SCP) di Panduan AWS Organizations Pengguna.

Memvalidasi izin peran dan batas izin kebijakan

Gunakan langkah-langkah berikut untuk memvalidasi bahwa batas izin yang terkait dengan peran dan kebijakannya tidak membatasi tindakan. guardduty:SendSecurityTelemetry

Untuk melihat batas izin untuk peran dan kebijakannya

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi kiri, di bawah Manajemen akses, pilih Peran.

  3. Pada halaman Peran, pilih peran TaskExecutionRole yang mungkin telah Anda buat.

  4. Pada halaman peran yang dipilih, di bawah tab Izin, perluas nama kebijakan yang terkait dengan peran ini. Kemudian, validasi bahwa kebijakan ini tidak membatasiguardduty:SendSecurityTelemetry.

  5. Jika batas Izin ditetapkan, maka perluas bagian ini. Kemudian, perluas setiap kebijakan untuk meninjau bahwa itu tidak membatasi guardduty:SendSecurityTelemetry tindakan. Kebijakan harus tampak mirip dengan iniExample SCP policy.

    Sesuai kebutuhan, lakukan salah satu tindakan berikut:

    • Untuk mengubah kebijakan, pilih Edit. Pada halaman Ubah izin untuk kebijakan ini, perbarui kebijakan di editor Kebijakan. Pastikan bahwa skema JSON tetap valid. Lalu, pilih Selanjutnya. Kemudian, Anda dapat meninjau dan menyimpan perubahan.

    • Untuk mengubah batas izin ini dan memilih batas lain, pilih Ubah batas.

    • Untuk menghapus batas izin ini, pilih Hapus batas.

    Untuk informasi tentang mengelola kebijakan, lihat Kebijakan dan izin AWS Identity and Access Management di Panduan Pengguna IAM.

Batas CPU dan memori

Dalam definisi tugas Fargate, Anda harus menentukan CPU dan nilai memori di tingkat tugas. Tabel berikut menunjukkan kombinasi yang valid dari CPU tingkat tugas dan nilai memori, dan batas memori maksimum agen GuardDuty keamanan yang sesuai untuk wadah. GuardDuty

Nilai CPU Nilai memori GuardDuty batas memori maksimum agen

256 (.25 vCPU)

512 MiB, 1 GB, 2GB

128 MB

512 (.5 vCPU)

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 vCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Antara 4 GB dan 16 GB dalam peningkatan 1 GB

4096 (4 vCPU)

Antara 8 GB dan 20 GB dalam peningkatan 1 GB

8192 (8 vCPU)

Antara 16 GB dan 28 GB dalam peningkatan 4 GB

270 MB

Antara 32 GB dan 60 GB dalam peningkatan 4 GB

512 MB

16384 (16 vCPU)

Antara 32 GB dan 120 GB dalam peningkatan 8 GB

1 GB

Setelah mengaktifkan Runtime Monitoring dan menilai bahwa status cakupan klaster Anda Sehat, Anda dapat menyiapkan dan melihat metrik wawasan Container. Untuk informasi selengkapnya, lihat Menyiapkan pemantauan di Amazon ECS cluster.

Langkah selanjutnya adalah mengkonfigurasi Runtime Monitoring dan juga mengkonfigurasi agen keamanan.