Prerequisiti per il AWS Fargate supporto (solo Amazon ECS) - Amazon GuardDuty
Convalida dei requisiti relativi all'architetturaPrerequisiti per l'accesso all'immagine del contenitoreConvalida della politica di controllo dei servizi dell'organizzazione in un ambiente con più accountConvalida delle autorizzazioni dei ruoli e del limite delle autorizzazioni delle policyLimiti di CPU e di memoria

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti per il AWS Fargate supporto (solo Amazon ECS)

Questa sezione include i prerequisiti per il monitoraggio del comportamento di runtime delle risorse Fargate-Amazon ECS. Una volta soddisfatti questi prerequisiti, vedere. Abilitazione del monitoraggio del GuardDuty runtime

Convalida dei requisiti relativi all'architettura

La piattaforma utilizzata può influire sul modo GuardDuty in cui il GuardDuty Security Agent supporta la ricezione degli eventi di runtime dai cluster Amazon ECS. Devi confermare di utilizzare una delle piattaforme verificate.

Considerazioni iniziali:

La AWS Fargate piattaforma per i tuoi cluster Amazon ECS deve essere Linux. La versione della piattaforma corrispondente deve essere almeno1.4.0, o. LATEST Per ulteriori informazioni sulle versioni della piattaforma, consulta le versioni della piattaforma Linux nella Amazon Elastic Container Service Developer Guide.

Le versioni della piattaforma Windows non sono ancora supportate.

Piattaforme verificate

La distribuzione del sistema operativo e l'architettura della CPU influiscono sul supporto fornito dal GuardDuty security agent. La tabella seguente mostra la configurazione verificata per la distribuzione del GuardDuty security agent e la configurazione del Runtime Monitoring.

distribuzione del sistema operativo 1 Supporto del kernel Architettura CPU x64 () AMD64 Architettura CPU Graviton () ARM64
Linux eBPF, Tracepoints, Kprobe Supportato Supportato

1 Supporto per vari sistemi operativi: GuardDuty ha verificato il supporto del Runtime Monitoring per la distribuzione operativa elencata nella tabella precedente. Sebbene il GuardDuty security agent possa funzionare su sistemi operativi non elencati nella tabella precedente, il GuardDuty team non può garantire il valore di sicurezza previsto.

Prerequisiti per l'accesso all'immagine del contenitore

I seguenti prerequisiti consentono di accedere all'immagine del contenitore GuardDuty sidecar dal repository Amazon ECR.

Requisiti per le autorizzazioni

Il ruolo di esecuzione dell'attività richiede determinate autorizzazioni Amazon Elastic Container Registry (Amazon ECR) per scaricare l'immagine del contenitore GuardDuty del Security Agent:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Per limitare ulteriormente le autorizzazioni di Amazon ECR, puoi aggiungere l'URI del repository Amazon ECR che ospita l'agente di GuardDuty sicurezza per (solo AWS Fargate Amazon ECS). Per ulteriori informazioni, consulta Agente di hosting del repository Amazon ECR GuardDuty.

Puoi utilizzare la policy ECSTask ExecutionRolePolicy gestita da Amazon o aggiungere le autorizzazioni di cui sopra alla tua TaskExecutionRole politica.

Configurazione della definizione dell'attività

Quando crei o aggiorni i servizi Amazon ECS, devi fornire informazioni sulla sottorete nella definizione dell'attività:

L'esecuzione di CreateServicee UpdateService APIs nell'Amazon Elastic Container Service API Reference richiede il trasferimento delle informazioni sulla sottorete. Per ulteriori informazioni, consulta le definizioni delle attività di Amazon ECS nella Amazon Elastic Container Service Developer Guide.

Requisiti di connessione di rete

È necessario garantire la connettività di rete per scaricare l'immagine del GuardDuty contenitore da Amazon ECR. Questo requisito è specifico GuardDuty perché utilizza Amazon ECR per ospitare il suo agente di sicurezza. A seconda della configurazione di rete, è necessario implementare una delle seguenti opzioni:

Opzione 1: utilizzo dell'accesso alla rete pubblica (se disponibile)

Se le attività di Fargate vengono eseguite in sottoreti con accesso a Internet in uscita, non è richiesta alcuna configurazione di rete aggiuntiva.

Opzione 2: utilizzo degli endpoint Amazon VPC (per sottoreti private)

Se le attività Fargate vengono eseguite in sottoreti private senza accesso a Internet, è necessario configurare gli endpoint VPC per ECR per garantire che l'URI del repository ECR che ospita il security agent sia accessibile dalla rete. GuardDuty Senza questi endpoint, le attività nelle sottoreti private non possono scaricare l'immagine del contenitore. GuardDuty

Per le istruzioni sulla configurazione degli endpoint VPC, consulta Create the VPC endpoint for Amazon ECR nella Amazon Elastic Container Registry User Guide.

Per informazioni su come abilitare Fargate a scaricare il GuardDuty contenitore, consulta Using Amazon ECR images with Amazon ECS nella Amazon Elastic Container Registry User Guide.

Configurazione del gruppo di sicurezza

Le immagini dei GuardDuty container sono in Amazon ECR e richiedono l'accesso ad Amazon S3. Questo requisito è specifico per il download di immagini di container da Amazon ECR. Per le attività con accesso limitato alla rete, è necessario configurare i gruppi di sicurezza per consentire l'accesso a S3.

Aggiungi una regola in uscita nel tuo gruppo di sicurezza che consenta il traffico verso l'elenco dei prefissi gestiti di S3 (pl-xxxxxxxx) sulla porta 443. Per aggiungere una regola in uscita, consulta Configura le regole dei gruppi di sicurezza nella Amazon VPC User Guide.

Per visualizzare gli elenchi di prefissi AWS-managed nella console o descriverli utilizzando AWS Command Line Interface (AWS CLI), consulta AWS-managed prefix lists nella Amazon VPC User Guide.

Convalida della politica di controllo dei servizi dell'organizzazione in un ambiente con più account

Questa sezione spiega come convalidare le impostazioni della policy di controllo del servizio (SCP) per garantire che il Runtime Monitoring funzioni come previsto in tutta l'organizzazione.

Se avete impostato una o più politiche di controllo del servizio per gestire le autorizzazioni nella vostra organizzazione, dovete verificare che l'azione non venga negata. guardduty:SendSecurityTelemetry Per informazioni su come SCPs funziona, consulta la valutazione SCP nella Guida per l'utente.AWS Organizations

Se sei un account membro, connettiti con l'amministratore delegato associato. Per informazioni sulla gestione SCPs dell'organizzazione, consulta le politiche di controllo del servizio (SCPs) nella Guida per l'AWS Organizations utente.

Esegui i passaggi seguenti per tutto SCPs ciò che hai configurato nel tuo ambiente multi-account:

La convalida non guardduty:SendSecurityTelemetry è negata in SCP

  1. Accedi alla console Organizations all'indirizzo https://console.aws.amazon.com/organizations/. Devi accedere come ruolo IAM o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nel riquadro di navigazione a sinistra, seleziona Policies (Policy). Quindi, in Tipi di policy supportati, seleziona Service control policies.

  3. Nella pagina Criteri di controllo del servizio, scegli il nome della politica che desideri convalidare.

  4. Nella pagina dei dettagli della politica, visualizza il contenuto di questa politica. Assicurati che non neghi l'guardduty:SendSecurityTelemetryazione.

    La seguente politica SCP è un esempio di come non negare l'azione: guardduty:SendSecurityTelemetry

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [           
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

    Se la tua politica nega questa azione, devi aggiornare la politica. Per ulteriori informazioni, consulta Aggiornamento di una policy di controllo dei servizi nella Guida per l'utente di AWS Organizations .

Convalida delle autorizzazioni dei ruoli e del limite delle autorizzazioni delle policy

Utilizza i seguenti passaggi per verificare che i limiti delle autorizzazioni associati al ruolo e alla relativa politica non influiscano sull'azione di restrizione. guardduty:SendSecurityTelemetry

Per visualizzare i limiti delle autorizzazioni per i ruoli e la relativa politica

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel riquadro di navigazione a sinistra, in Gestione degli accessi, scegli Ruoli.

  3. Nella pagina Ruoli, seleziona il ruolo TaskExecutionRole che potresti aver creato.

  4. Nella pagina del ruolo selezionato, nella scheda Autorizzazioni, espandi il nome della policy associata a questo ruolo. Quindi, verifica che questa politica non preveda restrizioni. guardduty:SendSecurityTelemetry

  5. Se il limite delle autorizzazioni è impostato, espandi questa sezione. Quindi, espandi ogni politica per verificare che non limiti l'azioneguardduty:SendSecurityTelemetry. La politica dovrebbe apparire simile a questaExample SCP policy.

    Se necessario, esegui una delle seguenti azioni:

    • Per modificare la politica, seleziona Modifica. Nella pagina Modifica le autorizzazioni per questa politica, aggiorna la politica nell'editor delle politiche. Assicurati che lo schema JSON rimanga valido. Quindi, seleziona Next (Successivo). Quindi, puoi rivedere e salvare le modifiche.

    • Per modificare questo limite di autorizzazioni e scegliere un altro limite, scegli Cambia limite.

    • Per rimuovere questo limite di autorizzazioni, scegli Rimuovi limite.

    Per informazioni sulla gestione delle policy, consulta Policies and permissions AWS Identity and Access Management nella IAM User Guide.

Limiti di CPU e di memoria

Nella definizione dell'attività Fargate, è necessario specificare il valore della CPU e della memoria a livello di attività. La tabella seguente mostra le combinazioni valide di valori di CPU e memoria a livello di task e il limite massimo di memoria del GuardDuty Security Agent corrispondente per il contenitore. GuardDuty

Valore CPU Valore memoria GuardDuty limite massimo di memoria dell'agente

256 (0,25 vCPU)

512 MiB, 1 GB, 2 GB

128 MB

512 (0,5 vCPU)

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 vCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Tra 4 GB e 16 GB in incrementi di 1 GB

4096 (4 vCPU)

Tra 8 GB e 20 GB con incrementi di 1 GB

8192 (8 vCPU)

Tra 16 GB e 28 GB con incrementi di 4 GB

256 MB

Tra 32 GB e 60 GB con incrementi di 4 GB

512 MB

16384 (16 vCPU)

Tra 32 GB e 120 GB in incrementi di 8 GB

1 GB

Dopo aver abilitato il Runtime Monitoring e verificato che lo stato di copertura del cluster sia integro, puoi configurare e visualizzare le metriche di Container Insight. Per ulteriori informazioni, consulta Configurazione del monitoraggio sul cluster Amazon ECS.

Il passaggio successivo consiste nel configurare Runtime Monitoring e configurare anche il security agent.