Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice sulla sicurezza di Fargate in Amazon ECS
Consigliamo di tenere in considerazione le best practice seguenti quando utilizzi AWS Fargate. Per ulteriori indicazioni, vedere Panoramica sulla sicurezza di AWS Fargate
Utilizzato AWS KMS per crittografare lo storage temporaneo per Fargate
È necessario crittografare lo storage temporaneo con una delle chiavi gestite dal cliente o con chiavi gestite dal cliente. AWS KMS Le attività ospitate su Fargate che utilizzano la versione della piattaforma 1.4.0 o successiva ricevono almeno 20 GiB di spazio di archiviazione temporaneo. Per ulteriori informazioni, consulta l'argomento relativo alla chiave gestita dal cliente (CMK). La quantità totale di spazio di archiviazione temporaneo può essere aumentata, fino ad un massimo di 200 GiB, specificando il parametro ephemeralStorage nella definizione di attività. Per le attività avviate a partire dal 28 maggio 2020 (compreso), lo spazio di archiviazione temporaneo viene crittografato con un algoritmo di crittografia AES-256 utilizzando una chiave di crittografia gestita da Fargate.
Per ulteriori informazioni, Storage options for Amazon ECS tasks.
Esempio: avvio di un'attività sulla versione della piattaforma 1.4.0 di Fargate con crittografia dello spazio di archiviazione temporaneo
Il comando seguente avvierà un'attività sulla versione della piattaforma 1.4 di Fargate. Dal momento che viene avviata nell'ambito del cluster, l'attività utilizza 20 GiB di spazio di archiviazione temporaneo crittografato in automatico.
aws ecs run-task --cluster clustername \ --task-definitiontaskdefinition:version\ --count 1 --launch-type "FARGATE" \ --platform-version 1.4.0 \ --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ --region region
Funzionalità SYS_PTRACE per il tracciamento di syscall del kernel con Fargate
La configurazione predefinita delle funzionalità di Linux che vengono aggiunte o rimosse dal container è fornita da Docker.
Le attività avviate su Fargate supportano solo l'aggiunta della funzionalità del kernel SYS_PTRACE.
Il seguente video mostra come utilizzare questa funzionalità attraverso il progetto Sysdig Falco
Il codice discusso nel video precedente può essere trovato qui. GitHub
Usa Amazon GuardDuty con Fargate Runtime Monitoring
Amazon GuardDuty è un servizio di rilevamento delle minacce che aiuta a proteggere account, contenitori, carichi di lavoro e dati all'interno del tuo AWS ambiente. Utilizzando modelli di machine learning (ML) e funzionalità di rilevamento di anomalie e minacce, monitora GuardDuty continuamente diverse fonti di log e attività di runtime per identificare e dare priorità ai potenziali rischi per la sicurezza e alle attività dannose nel tuo ambiente.
Runtime Monitoring in GuardDuty protegge i carichi di lavoro in esecuzione su Fargate AWS monitorando continuamente i log e l'attività di rete per identificare comportamenti dannosi o non autorizzati. Runtime Monitoring utilizza un agente di GuardDuty sicurezza leggero e completamente gestito che analizza il comportamento sull'host, come l'accesso ai file, l'esecuzione dei processi e le connessioni di rete. Ciò riguarda questioni quali l'aumento dei privilegi, l'uso di credenziali esposte o la comunicazione con indirizzi IP e domini dannosi e la presenza di malware sulle istanze Amazon EC2 e sui carichi di lavoro dei container. Per ulteriori informazioni, consulta GuardDuty Runtime Monitoring nella Guida per l'utente. GuardDuty
