Usando VPC compartilhada com monitoramento de tempo de execução - Amazon GuardDuty
Como funcionaPré-requisitos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando VPC compartilhada com monitoramento de tempo de execução

GuardDuty O Runtime Monitoring suporta o uso compartilhado da Amazon Virtual Private Cloud (Amazon VPC) para Contas da AWS aqueles que pertencem à mesma organização em. AWS Organizations Você pode usar a VPC compartilhada de duas maneiras:

  • Configuração automatizada do agente (recomendada) — Quando gerencia GuardDuty automaticamente o agente de segurança, ele também configura a política de endpoint do Amazon VPC. Essa política é baseada nas configurações de VPC compartilhadas da sua organização.

    Você deve ativar a configuração automática do agente na conta compartilhada do proprietário da VPC e em todas as contas participantes que compartilharão essa VPC.

  • Agente gerenciado manualmente — Ao gerenciar manualmente o agente de segurança com a VPC compartilhada, você deve atualizar a política de endpoint da VPC para permitir que as contas correspondentes acessem a VPC compartilhada. Para fazer isso, você pode usar o exemplo de política compartilhado na Como funciona seção a seguir.

    Para cenários de gerenciamento manual envolvendo contas participantes de VPC compartilhada, o status da cobertura pode não ser preciso. Para garantir o status de up-to-date proteção e cobertura de seus recursos, GuardDuty recomenda habilitar a configuração automática de agentes para todas as contas que usarão a VPC compartilhada.

Como funciona

Aqueles Contas da AWS que pertencem à mesma organização da conta compartilhada do proprietário da Amazon VPC também podem compartilhar o mesmo endpoint da Amazon VPC. Cada uma das contas que usam a mesma política de endpoint da Amazon VPC é chamada de AWS conta participante da Amazon VPC compartilhada associada.

O exemplo a seguir mostra a política padrão de endpoint da VPC da conta compartilhada do proprietário da VPC e da conta do participante. aws:PrincipalOrgID mostrará a ID da organização associada ao recurso VPC compartilhado. O uso desta política é limitado às contas de participantes presentes na organização da conta do proprietário.

exemplo
Exemplo de política de endpoint de VPC compartilhada
{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
Mostrar maisMostrar menos

Com configuração GuardDuty automática de agentes

Quando a conta do proprietário da VPC compartilhada ativa o Runtime Monitoring e a configuração automática do agente para qualquer um dos recursos (Amazon EKS ou (somente AWS Fargate Amazon ECS)), todos os compartilhados VPCs se tornam elegíveis para a instalação automática do endpoint compartilhado da Amazon VPC e do grupo de segurança associado na conta de proprietário da VPC compartilhada. GuardDuty recupera o ID da organização que está associado à Amazon VPC compartilhada.

GuardDuty cria um endpoint da Amazon VPC quando a conta compartilhada do proprietário da VPC ou a conta participante precisam dela. Exemplos de necessidade de um endpoint do Amazon VPC incluem GuardDuty habilitar o Runtime Monitoring, o EKS Runtime Monitoring ou o lançamento de uma nova tarefa do Amazon ECS-Fargate. Quando essas contas habilitam o Runtime Monitoring e a configuração automática de agentes para qualquer tipo de recurso, GuardDuty cria um endpoint da Amazon VPC e define a política de endpoint com o mesmo ID de organização da conta compartilhada do proprietário da VPC. GuardDuty adiciona uma GuardDutyManaged tag e a define true para o endpoint da Amazon VPC que cria. GuardDuty Se a conta compartilhada do proprietário da Amazon VPC não tiver habilitado o Runtime Monitoring ou a configuração automatizada do agente para nenhum dos recursos, não GuardDuty definirá a política de endpoint da Amazon VPC. Para obter informações sobre como configurar o Monitoramento de runtime e gerenciar automaticamente o agente de segurança na conta compartilhada do proprietário da VPC, consulte Habilitando o GuardDuty monitoramento de tempo.

Usando com agente gerenciado manualmente

Ao usar a VPC compartilhada com um agente gerenciado manualmente, verifique se não há uma política de Deny endpoint explícita que bloqueie qualquer conta que precise usar a VPC compartilhada. Isso evitará que o agente de segurança envie telemetria para GuardDuty, resultando em um status de Unhealthy cobertura. Para configurar a política de endpoint, consulteExample shared VPC endpoint policy.

A cobertura do tempo de execução pode não ser precisa em cenários como a falta de permissões para a VPC compartilhada. Você pode monitorar continuamente a cobertura de recursos seguindo as etapas para digitar seu recursoAnalisando estatísticas de cobertura de runtime e solucionando problemas.

Para garantir a proteção contínua de seus recursos computacionais pelo Runtime Monitoring, GuardDuty recomenda ativar a configuração automática do agente para a conta compartilhada do proprietário da VPC e para todas as contas participantes dos seus recursos.

Pré-requisitos para usar a VPC compartilhada

Como parte de uma configuração inicial, execute as seguintes etapas na Conta da AWS qual você deseja ser o proprietário da VPC compartilhada:

  1. Criando uma organização: crie uma organização, seguindo as etapas em Criando e gerenciando uma organização no AWS Organizations Guia do usuário.

    Para obter informações sobre como adicionar ou remover contas de membros, consulte Gerenciamento Contas da AWS na sua organização.

  2. Criando um recurso de VPC compartilhado — Você pode criar um recurso de VPC compartilhado a partir da conta do proprietário. Para obter mais informações, consulte Compartilhe suas sub-redes VPC com outras contas no Guia do usuário da Amazon VPC.

Pré-requisitos específicos para o monitoramento de tempo de execução GuardDuty

A lista a seguir fornece os pré-requisitos específicos para: GuardDuty

  • A conta do proprietário da VPC compartilhada e a conta participante podem ser de diferentes organizações em. GuardDuty Contudo, elas devem pertencer à mesma organização em AWS Organizations. Isso é necessário GuardDuty para criar um endpoint da Amazon VPC e um grupo de segurança para a VPC compartilhada. Para obter informações sobre como o VPCs trabalho compartilhado, consulte Compartilhe sua VPC com outras contas no Guia do usuário da Amazon VPC.

  • Ative o Runtime Monitoring ou o EKS Runtime Monitoring e a configuração GuardDuty automatizada do agente para qualquer recurso na conta compartilhada do proprietário da VPC e na conta do participante. Para obter mais informações, consulte Como habilitar o monitoramento de runtime.

    Se você já concluiu essas configurações, prossiga para a próxima etapa.

  • Ao trabalhar com uma tarefa do Amazon EKS ou do Amazon ECS (AWS Fargate somente), certifique-se de escolher o recurso VPC compartilhado associado à conta do proprietário e selecionar suas sub-redes.