Pré-requisitos para suporte (somente para AWS Fargate Amazon ECS) - Amazon GuardDuty
Validação dos requisitos de arquiteturaPré-requisitos para acesso à imagem do contêinerValidando a política de controle de serviços da sua organização em um ambiente com várias contasValidando permissões de função e limite de permissões de políticasLimites de CPU e memória

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pré-requisitos para suporte (somente para AWS Fargate Amazon ECS)

Esta seção inclui os pré-requisitos para monitorar o comportamento de runtime de seus recursos do Fargate-Amazon ECS. Depois que esses pré-requisitos forem atendidos, consulte Habilitando o GuardDuty monitoramento de tempo.

Validação dos requisitos de arquitetura

A plataforma que você usa pode afetar o suporte do agente GuardDuty de segurança GuardDuty no recebimento de eventos de tempo de execução de seus clusters do Amazon ECS. Você precisa validar que está usando uma das plataformas verificadas.

Considerações iniciais:

A AWS Fargate plataforma para seus clusters do Amazon ECS deve ser Linux. A versão da plataforma correspondente deve ser pelo menos1.4.0 ouLATEST. Para obter mais informações sobre as versões de plataforma, consulte Versões da plataforma Linux no Guia do desenvolvedor do Amazon Elastic Container Service.

As versões da plataforma Windows ainda não são suportadas.

Plataformas verificadas

A distribuição do sistema operacional e a arquitetura da CPU afetam o suporte fornecido pelo agente GuardDuty de segurança. A tabela a seguir mostra a configuração verificada para implantar o agente de GuardDuty segurança e configurar o Runtime Monitoring.

Distribuição do sistema operacional 1 Suporte do kernel Arquitetura de CPU x64 () AMD64 Arquitetura da CPU Graviton () ARM64
Linux eBPF, Tracepoints, Kprobe Compatível Compatível

1 Suporte para vários sistemas operacionais - GuardDuty verificou o suporte do Runtime Monitoring para a distribuição operacional listada na tabela anterior. Embora o agente GuardDuty de segurança possa ser executado em sistemas operacionais não listados na tabela anterior, a GuardDuty equipe não pode garantir o valor de segurança esperado.

Pré-requisitos para acesso à imagem do contêiner

Os pré-requisitos a seguir ajudam você a acessar a imagem do contêiner auxiliar GuardDuty a partir do repositório Amazon ECR.

Requisitos de permissão

A função de execução da tarefa exige determinadas permissões do Amazon Elastic Container Registry (Amazon ECR) para baixar a imagem do contêiner GuardDuty do agente de segurança:

...
      "ecr:GetAuthorizationToken",
      "ecr:BatchCheckLayerAvailability",
      "ecr:GetDownloadUrlForLayer",
      "ecr:BatchGetImage",
...

Para restringir ainda mais as permissões do Amazon ECR, você pode adicionar o URI do repositório do Amazon ECR que hospeda o agente de GuardDuty segurança para (somente AWS Fargate Amazon ECS). Para obter mais informações, consulte Agente de hospedagem de repositórios Amazon ECR GuardDuty.

Você pode usar a política ECSTask ExecutionRolePolicy gerenciada da Amazon ou adicionar as permissões acima à sua TaskExecutionRole política.

Configuração de definição de tarefas

Ao criar ou atualizar os serviços do Amazon ECS, você precisa fornecer informações de sub-rede na definição da sua tarefa:

Executar CreateServicee UpdateService APIs na Amazon Elastic Container Service API Reference exige que você passe as informações da sub-rede. Para obter mais informações, consulte Definições da tarefa do Amazon ECS no Guia do desenvolvedor do Amazon Elastic Container Service.

Requisitos de conectividade de rede

Você deve garantir a conectividade de rede para baixar a imagem do GuardDuty contêiner do Amazon ECR. Esse requisito é específico GuardDuty porque ele usa o Amazon ECR para hospedar seu agente de segurança. Dependendo da configuração da rede, você precisa implementar uma das seguintes opções:

Opção 1 - Usando o acesso à rede pública (se disponível)

Se suas tarefas do Fargate forem executadas em sub-redes com acesso de saída à Internet, nenhuma configuração de rede adicional será necessária.

Opção 2 - Usar endpoints da Amazon VPC (para sub-redes privadas)

Se suas tarefas do Fargate forem executadas em sub-redes privadas sem acesso à Internet, você deverá configurar VPC endpoints para ECR para garantir que o URI do repositório ECR que hospeda o agente de segurança esteja acessível pela rede. GuardDuty Sem esses endpoints, as tarefas em sub-redes privadas não podem baixar a imagem do GuardDuty contêiner.

Para obter instruções de configuração de endpoints de VPC, consulte Criar endpoints de VPC para o Amazon ECR no Guia do usuário do Amazon Elastic Container Registry.

Para obter informações sobre como permitir que o Fargate baixe o GuardDuty contêiner, consulte Como usar imagens do Amazon ECR com o Amazon ECS no Guia do usuário do Amazon Elastic Container Registry.

Configuração do security group

As imagens do GuardDuty contêiner estão no Amazon ECR e exigem acesso ao Amazon S3. Esse requisito é específico para baixar imagens de contêineres do Amazon ECR. Para tarefas com acesso restrito à rede, você deve configurar seus grupos de segurança para permitir acesso ao S3.

Adicione uma regra de saída em seu grupo de segurança que permita o tráfego para a lista de prefixos gerenciados do S3 (pl-xxxxxxxx) na porta 443. Para adicionar uma regra de saída, consulte Configurar regras de grupos de segurança no Guia do usuário da Amazon VPC.

Para visualizar suas listas AWS de prefixos gerenciados no console ou descrevê-las usando AWS Command Line Interface (AWS CLI), consulte listas de prefixos AWS gerenciados no Guia do usuário da Amazon VPC.

Validando a política de controle de serviços da sua organização em um ambiente com várias contas

Esta seção explica como validar suas configurações de política de controle de serviços (SCP) para garantir que o Runtime Monitoring funcione conforme o esperado em sua organização.

Se você configurou uma ou mais políticas de controle de serviços para gerenciar permissões em sua organização, você deve validar se ela não nega a guardduty:SendSecurityTelemetry ação. Para obter informações sobre como SCPs funciona, consulte a avaliação do SCP no Guia do AWS Organizations Usuário.

Se você for uma conta de membro, conecte-se com o administrador delegado associado. Para obter informações sobre o gerenciamento SCPs da sua organização, consulte Políticas de controle de serviço (SCPs) no Guia AWS Organizations do usuário.

Execute as etapas a seguir para tudo o SCPs que você configurou em seu ambiente de várias contas:

A validação não guardduty:SendSecurityTelemetry é negada no SCP

  1. Faça login no console Organizations em https://console.aws.amazon.com/organizations/. Você deve entrar como uma função do IAM ou como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. No painel de navegação à esquerda, selecione Policies (Políticas). Em seguida, em Tipos de políticas compatíveis, selecione Políticas de controle de serviços.

  3. Na página Políticas de controle de serviços, escolha o nome da política que você deseja validar.

  4. Na página de detalhes da política, veja o conteúdo desta política. Certifique-se de que ele não negue a guardduty:SendSecurityTelemetry ação.

    A política de SCP a seguir é um exemplo para não negar a guardduty:SendSecurityTelemetry ação:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
    "Effect": "Allow",
            "Action": [
                ...,
                ...,               
                "guardduty:SendSecurityTelemetry"
            ],
            "Resource": "*"
        }
    ]
}

    Se sua política negar essa ação, você deverá atualizar a política. Para obter mais informações, consulte Atualização de uma política de controle de serviços (SCP) no Guia do usuário do AWS Organizations .

Validando permissões de função e limite de permissões de políticas

Use as etapas a seguir para validar se os limites de permissões associados à função e sua política não afetam a guardduty:SendSecurityTelemetry ação de restrição.

Para visualizar o limite de permissões para funções e sua política

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação esquerdo, em Gerenciamento de acesso, escolha Perfis.

  3. Na página Funções, selecione a função TaskExecutionRole que você pode ter criado.

  4. Na página da função selecionada, na guia Permissões, expanda o nome da política associada a essa função. Em seguida, confirme se essa política não restringeguardduty:SendSecurityTelemetry.

  5. Se o limite de Permissões estiver definido, expanda essa seção. Em seguida, expanda cada política para verificar se ela não restringe a guardduty:SendSecurityTelemetry ação. A política deve ser semelhante a essaExample SCP policy.

    Conforme necessário, execute uma das seguintes ações:

    • Para modificar a política, selecione Editar. Na página Modificar permissões dessa política, atualize a política no editor de políticas. Certifique-se de que o esquema JSON permaneça válido. Em seguida, escolha Próximo. Em seguida, você pode revisar e salvar as alterações.

    • Para alterar esse limite de permissões e escolher outro limite, escolha Alterar limite.

    • Para remover esse limite de permissões, escolha Remover limite.

    Para obter informações sobre o gerenciamento de políticas, consulte Políticas e permissões AWS Identity and Access Management no Guia do usuário do IAM.

Limites de CPU e memória

Na definição de tarefa Fargate, você deve especificar o valor de CPU e de memória no nível de tarefa. A tabela a seguir mostra as combinações válidas de valores de CPU e memória em nível de tarefa e o limite máximo de memória do agente de GuardDuty segurança correspondente para o GuardDuty contêiner.

Valor de CPU Valor de memória GuardDuty limite máximo de memória do agente

256 (0,25 vCPU)

512 MiB, 1 GB, 2GB

128 MB

512 (0,5 vCPU)

1 GB, 2 GB, 3 GB, 4 GB

1024 (1 vCPU)

2 GB, 3 GB, 4 GB

5 GB, 6 GB, 7 GB, 8 GB

2048 (2 vCPU)

Entre 4 GB e 16 GB em incrementos de 1 GB

4096 (4 vCPU)

Entre 8 GB e 20 GB em incrementos de 1 GB

8192 (8 vCPU)

Entre 16 GB e 28 GB em incrementos de 4 GB

256 MB

Entre 32 GB e 60 GB em incrementos de 4 GB

512 MB

16384 (16 vCPU)

Entre 32 GB e 120 GB em incrementos de 8 GB

1 GB

Depois de habilitar o Monitoramento de runtime e avaliar se o status da cobertura do seu cluster é Íntegro, você pode configurar e visualizar as métricas do Container insight. Para obter mais informações, Como configurar o monitoramento no cluster do Amazon ECS.

A próxima etapa é configurar o Monitoramento de runtime e também configurar o agente de segurança.