Utilizzo di un VPC condiviso con Runtime Monitoring - Amazon GuardDuty
Come funzionaPrerequisiti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di un VPC condiviso con Runtime Monitoring

GuardDuty Il Runtime Monitoring supporta l'utilizzo di Amazon Virtual Private Cloud (Amazon VPC) condiviso per Account AWS chi appartiene alla stessa organizzazione in cui. AWS Organizations Puoi usare un VPC condiviso in due modi:

  • Configurazione automatica dell'agente (consigliata): quando gestisce GuardDuty automaticamente il security agent, configura anche la policy degli endpoint Amazon VPC. Questa politica si basa sulle impostazioni VPC condivise dell'organizzazione.

    È necessario abilitare la configurazione automatica degli agenti nell'account proprietario del VPC condiviso e in tutti gli account partecipanti che condivideranno questo VPC.

  • Agente gestito manualmente: quando gestisci manualmente il security agent con un VPC condiviso, devi aggiornare la policy degli endpoint VPC per consentire agli account corrispondenti di accedere al VPC condiviso. A tale scopo, è possibile utilizzare la politica di esempio condivisa nella sezione seguente. Come funziona

    Per gli scenari di gestione manuale che coinvolgono account partecipanti per un VPC condiviso, lo stato della copertura potrebbe non essere accurato. Per garantire up-to-date la protezione e lo stato di copertura delle risorse, GuardDuty consiglia di abilitare la configurazione automatica degli agenti per tutti gli account che utilizzeranno un VPC condiviso.

Come funziona

Anche le persone Account AWS che appartengono alla stessa organizzazione dell'account proprietario Amazon VPC condiviso possono condividere lo stesso endpoint Amazon VPC. Ciascuno degli account che utilizzano la stessa policy per gli endpoint di Amazon VPC viene chiamato AWS account partecipante dell'Amazon VPC condiviso associato.

L'esempio seguente mostra la politica degli endpoint VPC predefinita dell'account proprietario del VPC condiviso e dell'account partecipante. aws:PrincipalOrgIDMostrerà l'ID dell'organizzazione associato alla risorsa VPC condivisa. L'uso di questa politica è limitato agli account dei partecipanti presenti nell'organizzazione dell'account del proprietario.

Esempio di policy di endpoint VPC condivisa
{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
Mostra piùMostra meno

Con configurazione GuardDuty automatica degli agenti

Quando l'account proprietario del VPC condiviso abilita il monitoraggio del runtime e la configurazione automatica degli agenti per una qualsiasi delle risorse (Amazon EKS o (solo AWS Fargate Amazon ECS)), tutte le risorse condivise VPCs diventano idonee per l'installazione automatica dell'endpoint Amazon VPC condiviso e del gruppo di sicurezza associato nell'account proprietario del VPC condiviso. GuardDuty recupera l'ID dell'organizzazione associato all'Amazon VPC condiviso.

GuardDuty crea un endpoint Amazon VPC quando l'account proprietario del VPC condiviso o l'account partecipante ne hanno bisogno. Esempi di necessità di un endpoint Amazon VPC includono l' GuardDutyabilitazione, il monitoraggio del runtime, il monitoraggio del runtime EKS o il lancio di una nuova attività Amazon ECS-Fargate. Quando questi account abilitano il Runtime Monitoring e la configurazione automatizzata degli agenti per qualsiasi tipo di risorsa, GuardDuty creano un endpoint Amazon VPC e impostano la policy dell'endpoint con lo stesso ID dell'organizzazione dell'account proprietario del VPC condiviso. GuardDuty aggiunge un GuardDutyManaged tag e lo imposta true per l'endpoint Amazon VPC che lo crea. GuardDuty Se l'account proprietario di Amazon VPC condiviso non ha abilitato il monitoraggio del runtime o la configurazione automatica degli agenti per nessuna delle risorse, non GuardDuty imposterà la policy degli endpoint di Amazon VPC. Per informazioni sulla configurazione del Runtime Monitoring e sulla gestione automatica del security agent nell'account proprietario del VPC condiviso, consulta. Abilitazione del monitoraggio del GuardDuty runtime

Utilizzo con un agente gestito manualmente

Quando utilizzi un VPC condiviso con un agente gestito manualmente, verifica che non esista una policy esplicita sugli Deny endpoint che blocchi gli account che devono utilizzare il VPC condiviso. Ciò impedirà al Security Agent di inviare dati di telemetria a, con conseguente stato di copertura. GuardDuty Unhealthy Per configurare la politica degli endpoint, vedere. Example shared VPC endpoint policy

La copertura del runtime potrebbe non essere accurata in scenari come la mancanza di autorizzazioni per il VPC condiviso. È possibile monitorare continuamente la copertura delle risorse seguendo i passaggi relativi al tipo di risorsa. Revisione delle statistiche sulla copertura del runtime e risoluzione dei problemi

Per garantire la protezione continua del Runtime Monitoring delle risorse di elaborazione, GuardDuty consiglia di abilitare la configurazione automatizzata degli agenti per l'account proprietario del VPC condiviso e tutti gli account partecipanti per le tue risorse.

Prerequisiti per l'utilizzo di un VPC condiviso

Come parte della configurazione iniziale, esegui i seguenti passaggi se desideri diventare il proprietario del VPC condiviso: Account AWS

  1. Creazione di un'organizzazione: crea un'organizzazione seguendo i passaggi descritti in Creazione e gestione di un'organizzazione nella Guida per l'AWS Organizations utente.

    Per informazioni sull'aggiunta o la rimozione degli account dei membri, consulta Gestione Account AWS nell'organizzazione.

  2. Creazione di una risorsa VPC condivisa: puoi creare una risorsa VPC condivisa dall'account del proprietario. Per ulteriori informazioni, consulta Condividi le tue sottoreti VPC con altri account nella Amazon VPC User Guide.

Prerequisiti specifici per il monitoraggio del runtime GuardDuty

L'elenco seguente fornisce i prerequisiti specifici per: GuardDuty

  • L'account proprietario del VPC condiviso e l'account partecipante possono appartenere a organizzazioni diverse in. GuardDuty Tuttavia, devono appartenere alla stessa organizzazione in AWS Organizations. Ciò è necessario per GuardDuty creare un endpoint Amazon VPC e un gruppo di sicurezza per il VPC condiviso. Per informazioni su come VPCs funziona la condivisione, consulta Condividi il tuo VPC con altri account nella Amazon VPC User Guide.

  • Abilita Runtime Monitoring o EKS Runtime Monitoring e la configurazione GuardDuty automatizzata degli agenti per qualsiasi risorsa nell'account proprietario del VPC condiviso e nell'account partecipante. Per ulteriori informazioni, consulta Abilitazione del monitoraggio del runtime.

    Se hai già completato queste configurazioni, continua con il passaggio successivo.

  • Quando lavori con un'attività Amazon EKS o Amazon ECS (AWS Fargate solo), assicurati di scegliere la risorsa VPC condivisa associata all'account del proprietario e di selezionarne le sottoreti.