Como o Monitoramento de runtime funciona com o Fargate (apenas para Amazon ECS) - Amazon GuardDuty
Abordagens para gerenciar agentes GuardDuty de segurança nos recursos do Amazon ECS-Fargate

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Monitoramento de runtime funciona com o Fargate (apenas para Amazon ECS)

Quando você ativa o Runtime Monitoring, GuardDuty fica pronto para consumir os eventos de tempo de execução de uma tarefa. Essas tarefas são executadas nos clusters do Amazon ECS, que por sua vez são executados nas AWS Fargate instâncias. GuardDuty Para receber esses eventos de tempo de execução, você deve usar o agente de segurança dedicado e totalmente gerenciado.

Você pode GuardDuty permitir o gerenciamento do agente GuardDuty de segurança em seu nome, usando a configuração automatizada do agente para uma AWS conta ou organização. GuardDuty começará a implantar o agente de segurança nas novas tarefas do Fargate que são lançadas em seus clusters do Amazon ECS. A lista a seguir especifica o que esperar quando você ativa o agente GuardDuty de segurança.

Impacto da ativação do agente GuardDuty de segurança
GuardDuty cria um endpoint e um grupo de segurança de nuvem privada virtual (VPC)

  • Quando você implanta o agente GuardDuty de segurança, GuardDuty cria um VPC endpoint por meio do qual o agente de segurança entrega os eventos de tempo de execução. GuardDuty

    Junto com o VPC endpoint, GuardDuty também cria um novo grupo de segurança. As regras de entrada (entrada) controlam o tráfego que pode alcançar os recursos associados ao grupo de segurança. GuardDuty adiciona regras de entrada que correspondem ao intervalo CIDR da VPC para seu recurso e também se adapta a ele quando o intervalo CIDR muda. Para obter mais informações, consulte Intervalo CIDR da VPC no Guia do Usuário da Amazon VPC.

  • Trabalhando com VPC centralizada com agente automatizado — Quando você GuardDuty usa a configuração automatizada de agente para um tipo de recurso GuardDuty , criará um VPC endpoint em seu nome para todos os. VPCs Isso inclui a VPC e o spoke centralizados. VPCs GuardDutynão oferece suporte à criação de um VPC endpoint somente para a VPC centralizada. Para obter mais informações sobre como a VPC centralizada funciona, consulte Interface VPC endpoints no Whitepaper — Criando uma infraestrutura de rede AWS multi-VPC escalável e segura. AWS

  • Não há custo adicional para usar o endpoint da VPC.

GuardDuty adiciona um contêiner de sidecar

Para uma nova tarefa ou serviço do Fargate que começa a ser executado, um GuardDuty contêiner (sidecar) se conecta a cada contêiner dentro da tarefa do Amazon ECS Fargate. O agente GuardDuty de segurança é executado dentro do GuardDuty contêiner anexado. Isso ajuda GuardDuty a coletar os eventos de tempo de execução de cada contêiner em execução nessas tarefas.

A imagem GuardDuty do contêiner auxiliar é armazenada no Amazon Elastic Container Registry (Amazon ECR), com suas camadas de imagem armazenadas no Amazon S3. Quando sua tarefa é iniciada, ela precisa extrair essa imagem do ECR. Dependendo da configuração da rede, isso pode exigir configurações específicas para garantir o acesso ao ECR e ao S3. Por exemplo, se você estiver usando grupos de segurança com acesso restrito, precisará permitir o acesso à lista de prefixos gerenciados do S3. Para obter mais informações sobre como fazer isso, consulte Pré-requisitos para acesso à imagem do contêiner.

Quando você inicia uma tarefa do Fargate, caso o GuardDuty contêiner (sidecar) não possa ser iniciado em um estado íntegro, o Runtime Monitoring foi projetado para não impedir que as tarefas sejam executadas.

Por padrão, uma tarefa do Fargate é imutável. GuardDuty não implantará o sidecar quando uma tarefa já estiver em execução. Caso queira monitorar um contêiner em uma tarefa já em execução, basta interromper a tarefa e iniciá-la novamente.

Abordagens para gerenciar agentes GuardDuty de segurança nos recursos do Amazon ECS-Fargate

O Monitoramento de runtime oferece a opção de detectar possíveis ameaças à segurança em todos os clusters do Amazon ECS (nível de conta) ou em clusters seletivos (nível de cluster) em sua conta. Quando você habilita a configuração automatizada do agente para cada tarefa do Amazon ECS Fargate que será executada GuardDuty , adicionará um contêiner auxiliar para cada carga de trabalho de contêiner dentro dessa tarefa. O agente GuardDuty de segurança é implantado nesse contêiner auxiliar. É assim que GuardDuty se obtém visibilidade do comportamento em tempo de execução dos contêineres dentro das tarefas do Amazon ECS.

O Runtime Monitoring suporta o gerenciamento do agente de segurança para seus clusters do Amazon ECS (AWS Fargate) somente por meio GuardDuty de. Não há suporte para gerenciar o agente de segurança manualmente nos clusters do Amazon ECS.

Antes de configurar suas contas, avalie se você deseja monitorar o comportamento do runtime de todos os contêineres que pertencem às tarefas do Amazon ECS ou incluir ou excluir recursos específicos. Considere as seguintes abordagens.

Monitorar todos os clusters do Amazon ECS

Essa abordagem ajudará a detectar possíveis ameaças à segurança no nível da conta. Use essa abordagem quando quiser GuardDuty detectar possíveis ameaças de segurança para todos os clusters do Amazon ECS que pertencem à sua conta.

Excluir clusters específicos do Amazon ECS

Use essa abordagem quando quiser detectar possíveis ameaças GuardDuty à segurança para a maioria dos clusters do Amazon ECS em seu AWS ambiente, mas excluir alguns dos clusters. Essa abordagem ajuda você a monitorar o comportamento de runtime dos contêineres em suas tarefas do Amazon ECS no nível do cluster. Por exemplo, o número de clusters do Amazon ECS que pertencem à sua conta é 1000. No entanto, deseja-se monitorar somente 930 clusters do Amazon ECS.

Essa abordagem exige que você adicione uma GuardDuty tag predefinida aos clusters do Amazon ECS que você não deseja monitorar. Para obter mais informações, consulte Gerenciamento de agente de segurança automatizado para Fargate (somente Amazon ECS).

Inclua clusters específicos do Amazon ECS

Use essa abordagem quando quiser detectar possíveis ameaças GuardDuty à segurança de alguns dos clusters do Amazon ECS. Essa abordagem ajuda você a monitorar o comportamento de runtime dos contêineres em suas tarefas do Amazon ECS no nível do cluster. Por exemplo, o número de clusters do Amazon ECS que pertencem à sua conta é 1000. No entanto, deseja-se monitorar somente 230 clusters.

Essa abordagem exige que você adicione uma GuardDuty tag predefinida aos clusters do Amazon ECS que você deseja monitorar. Para obter mais informações, consulte Gerenciamento de agente de segurança automatizado para Fargate (somente Amazon ECS).