Controles do Security Hub para o Amazon ECS
Esses controles do Security Hub avaliam o serviço e os recursos do Amazon Elastic Container Service (Amazon ECS). Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[ECS.1] As definições de tarefas do Amazon ECS devem ter modos de rede seguros e definições de usuário
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro
Gravidade: alta
Tipo de recurso: AWS::ECS::TaskDefinition
AWS Config Regra: ecs-task-definition-user-for-host-mode-check
Tipo de programação: acionado por alterações
Parâmetros:
-
SkipInactiveTaskDefinitions:true(não personalizável)
Esse controle verifica se uma definição de tarefa ativa do Amazon ECS com o modo de rede do host tem definições de contêiner deprivileged ou user. O controle falha nas definições de tarefas que têm o modo de rede do host e as definições de contêiner de privileged=false, vazio e user=root ou vazio.
Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.
O objetivo desse controle é garantir que o acesso seja definido intencionalmente quando você executa tarefas que usam o modo de rede do host. Se uma definição de tarefa tiver privilégios elevados, é porque você escolheu essa configuração. Esse controle verifica o escalonamento inesperado de privilégios quando uma definição de tarefa tem a rede de host ativada e você não escolhe privilégios elevados.
Correção
Para obter informações sobre como atualizar uma definição de tarefa, consulte Atualizar uma definição de tarefa no Guia do desenvolvedor do Amazon Elastic Container Service.
Quando você atualiza uma definição de tarefa, ela não atualiza as tarefas em execução que foram iniciadas a partir da definição de tarefa anterior. Para atualizar uma tarefa em execução, é necessário reimplantar a tarefa com a nova definição de tarefa.
[ECS.2] Os serviços do ECS não devem ter endereços IP públicos atribuídos a eles automaticamente
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9), PCI DSS v4.0.1/1.4.4
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Gravidade: alta
Tipo de recurso: AWS::ECS::Service
Regra AWS Config: ecs-service-assign-public-ip-disabled (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os serviços do Amazon ECS estão configurados para atribuir automaticamente endereços IP públicos. Esse controle falhará se AssignPublicIP for ENABLED. Esse controle será aprovado se AssignPublicIP for DISABLED.
Um endereço IP público é um endereço IP que é acessível pela Internet. Se você iniciar suas instâncias do Amazon ECS com um endereço IP público, suas instâncias do Amazon ECS poderão ser acessadas pela Internet. Os serviços do Amazon ECS não devem ser acessíveis ao público, pois isso pode permitir acesso não intencional aos seus servidores de aplicativos de contêineres.
Correção
Primeiro, é necessário criar uma definição de tarefa para o cluster que use o modo de rede awsvpc e especifique FARGATE em requiresCompatibilities. Depois, em Configuração de computação, escolha Tipo de inicialização e FARGATE. Por fim, no campo Rede, desative IP público para desabilitar a atribuição automática de um IP público para seu serviço.
[ECS.3] As definições de tarefas do ECS não devem compartilhar o namespace do processo do host
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoria: Identificar > Configuração de recursos
Gravidade: alta
Tipo de recurso: AWS::ECS::TaskDefinition
AWS Config Regra: ecs-task-definition-pid-mode-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se as definições de tarefas do Amazon ECS estão configuradas para compartilhar o namespace do processo de um host com seus contêineres. O controle falhará se a definição da tarefa compartilhar o namespace do processo do host com os contêineres em execução nele. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.
Um namespace de ID de processo (PID) fornece separação entre processos. Ele impede que os processos do sistema sejam visíveis e permite que os PIDs sejam reutilizados, incluindo o PID 1. Se o namespace PID do host for compartilhado com contêineres, isso permitirá que os contêineres vejam todos os processos no sistema host. Isso reduz o benefício do isolamento em nível de processo entre o host e os contêineres. Essas circunstâncias podem levar ao acesso não autorizado aos processos no próprio host, incluindo a capacidade de manipulá-los e encerrá-los. Os clientes não devem compartilhar o namespace do processo do host com os contêineres em execução nele.
Correção
Para configurar o pidMode na definição de uma tarefa, consulte Parâmetros de definição de tarefa no Guia do desenvolvedor do Amazon Elastic Container Service.
[ECS.4] Os contêineres ECS devem ser executados sem privilégios
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro > Restrições de acesso do usuário raiz
Gravidade: alta
Tipo de recurso: AWS::ECS::TaskDefinition
AWS Config Regra: ecs-containers-nonprivileged
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o parâmetro privileged na definição do contêiner das definições de tarefas do Amazon ECS está definido como true. O controle falhará se esse parâmetro for igual a true. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.
Recomendamos que você remova privilégios elevados de suas definições de tarefas do ECS. Quando esse parâmetro do privilégio é true, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz).
Correção
Para configurar o parâmetro privileged na definição de uma tarefa, consulte Parâmetros avançados de definição de tarefa no Guia do desenvolvedor do Amazon Elastic Container Service.
[ECS.5] Os contêineres do ECS devem ser limitados ao acesso somente leitura aos sistemas de arquivos raiz
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro
Gravidade: alta
Tipo de recurso: AWS::ECS::TaskDefinition
AWS Config Regra: ecs-containers-readonly-access
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um contêiner do Amazon ECS tem acesso somente de leitura ao sistema de arquivos raiz. O controle falhará se o parâmetro readonlyRootFilesystem estiver definido como false, ou se o parâmetro não existir na definição do contêiner dentro da definição da tarefa. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.
Se o parâmetro readonlyRootFilesystem estiver definido como true em uma definição de tarefa do Amazon ECS, o contêiner do ECS receberá acesso somente de leitura ao sistema de arquivos raiz. Isso reduz os vetores de ataque de segurança, pois porque o sistema de arquivos raiz da instância de contêiner não pode ser adulterado ou gravado sem montagens explícitas de volume com permissões de leitura e gravação para pastas e diretórios do sistema de arquivos. Habilitar essa opção também segue o princípio do privilégio mínimo.
Correção
Para dar a um contêiner do Amazon ECS acesso somente de leitura ao seu sistema de arquivos raiz, adicione o parâmetro readonlyRootFilesystem à definição da tarefa do contêiner e defina o valor do parâmetro como true. Para obter informações sobre parâmetros de definição de tarefa e como adicioná-los a uma definição de tarefa, consulte Definições de tarefa do Amazon ECS e Atualizar uma definição de tarefa no Guia do desenvolvedor do Amazon Elastic Container Service.
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/8.6.2
Categoria: Proteger > Desenvolvimento seguro > Credenciais sem codificação rígida
Gravidade: alta
Tipo de recurso: AWS::ECS::TaskDefinition
AWS Config Regra: ecs-no-environment-secrets
Tipo de programação: acionado por alterações
Parâmetros: secretKeys: AWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY,ECS_ENGINE_AUTH_DATA (não personalizáveis)
Esse controle verifica se o valor da chave de qualquer variável no parâmetro environment das definições do contêiner inclui AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY ou ECS_ENGINE_AUTH_DATA. Esse controle falhará se uma única variável de ambiente em qualquer definição de contêiner for igual a AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY ou ECS_ENGINE_AUTH_DATA. Esse controle não abrange variáveis ambientais transmitidas de outros locais, como o Amazon S3. Esse controle avalia somente a revisão ativa mais recente de uma definição de tarefa do Amazon ECS.
O AWS Systems Manager Parameter Store pode ajudá-lo a melhorar a postura de segurança da sua organização. Recomendamos usar o Parameter Store para armazenar segredos e credenciais em vez de passá-los diretamente para suas instâncias de contêiner ou codificá-los em seu código.
Correção
Para criar parâmetros usando o SSM, consulte Criar parâmetros do Systems Manager no Guia do usuário do AWS Systems Manager. Para obter mais informações sobre a criação de uma definição de tarefa que especifica um segredo, consulte Especificar dados sigilosos usando segredos do Secrets Manager no Guia do desenvolvedor do Amazon Elastic Container Service.
[ECS.9] As definições de tarefas do ECS devem ter uma configuração de registro em log
Requisitos relacionados: NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-7(8)
Categoria: Identificar > Registro em log
Gravidade: alta
Tipo de recurso: AWS::ECS::TaskDefinition
Regra do AWS Config: ecs-task-definition-log-configuration
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a última definição de tarefa ativa do Amazon ECS tem uma configuração de registro em log especificada. O controle falhará se a definição da tarefa não tiver a propriedade logConfiguration definida ou se o valor para logDriver for nulo em pelo menos uma definição de contêiner.
O registro em log ajuda a manter a confiabilidade, a disponibilidade e a performance do Amazon ECS. A coleta de dados das definições de tarefas fornece visibilidade, o que pode ajudá-lo a depurar processos e encontrar a causa raiz dos erros. Se você estiver usando uma solução de registro em log que não precisa ser definida na definição de tarefas do ECS (como uma solução de registro em log de terceiros), você pode desativar esse controle depois de garantir que seus logs sejam capturados e entregues adequadamente.
Correção
Para definir uma configuração de log para suas definições de tarefas do Amazon ECS, consulte Especificar uma configuração de log na definição de tarefa no Guia do desenvolvedor do Amazon Elastic Container Service.
[ECS.10] Os serviços ECS Fargate devem ser executados na versão mais recente da plataforma Fargate
Requisitos relacionados: NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/6.3.3
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Gravidade: média
Tipo de recurso: AWS::ECS::Service
AWS Config Regra: ecs-fargate-latest-platform-version
Tipo de programação: acionado por alterações
Parâmetros:
latestLinuxVersion: 1.4.0(não personalizável)latestWindowsVersion: 1.0.0(não personalizável)
Esse controle verifica se os serviços do Amazon ECS Fargate estão executando a versão da plataforma Fargate mais recente. Esse controle falhará se a versão da plataforma não for a mais recente.
As versões da plataforma AWS Fargate referem-se a um ambiente de runtime específico para a infraestrutura de tarefas do Fargate, que é uma combinação de versões de runtime do kernel e contêiner. Novas versões da plataforma são lançadas à medida que o ambiente de runtime evolui. Por exemplo, uma nova versão pode ter sido lançada para o kernel ou haver atualizações para o sistema operacional, novos recursos, correções de erros ou atualizações de segurança. Atualizações de segurança e patches são implantados automaticamente nas tarefas do Fargate. Se for encontrado um problema de segurança que afeta uma versão da plataforma, a AWS corrigirá a versão da plataforma.
Correção
Para atualizar um serviço existente, incluindo sua versão da plataforma, consulte Atualizar um serviço no Guia do desenvolvedor do Amazon Elastic Container Service.
[ECS.12] Os clusters do ECS devem usar Container Insights
Requisitos relacionados: NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-2
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::ECS::Cluster
AWS Config Regra: ecs-container-insights-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os clusters do ECS usam o Container Insights. Esse controle falhará se o Container Insights não estiver configurado para um cluster.
O monitoramento é uma parte importante para manter a confiabilidade, a disponibilidade e a performance dos clusters do Amazon ECS. Use o CloudWatch Container Insights para coletar, agregar e resumir métricas e logs de suas aplicações e seus microsserviços conteinerizados. O CloudWatch coleta automaticamente métricas de muitos recursos, como CPU, memória, disco e rede. O Container Insights também fornece informações de diagnóstico, como falhas de reinicialização de contêiner, para ajudar a isolar problemas e resolvê-los rapidamente. Também é possível definir alarmes do CloudWatch em métricas que o Container Insights coleta.
Correção
Para usar o Container Insights, consulte Atualizar um serviço no Guia do usuário do Amazon CloudWatch.
[ECS.13] Os serviços do ECS devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::ECS::Service
Regra AWS Config: tagged-ecs-service (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se um serviço do Amazon ECS tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o serviço não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o serviço não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um serviço do ECS, consulte Marcação de recursos do Amazon ECS, no Guia do Desenvolvedor do Amazon Elastic Container Service.
[ECS.14] Os clusters do ECS devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::ECS::Cluster
Regra AWS Config: tagged-ecs-cluster (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se um cluster do Amazon ECS tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um cluster do ECS, consulte Marcação de recursos do Amazon ECS, no Guia do Desenvolvedor do Amazon Elastic Container Service.
[ECS.15] As definições de tarefas do ECS devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::ECS::TaskDefinition
Regra AWS Config: tagged-ecs-taskdefinition (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se uma definição de tarefa do Amazon ECS tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se a definição de tarefa não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a definição de tarefa não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a uma definição de tarefa do ECS, consulte Marcação de recursos do Amazon ECS, no Guia do Desenvolvedor do Amazon Elastic Container Service.
[ECS.16] Os conjuntos de tarefas do ECS não devem atribuir automaticamente endereços IP públicos
Requisitos relacionados: PCI DSS v4.0.1/1.4.4
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Gravidade: alta
Tipo de recurso: AWS::ECS::TaskSet
Regra AWS Config: ecs-taskset-assign-public-ip-disabled (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um conjunto de tarefas do Amazon ECS está configurado para atribuir automaticamente endereços IP públicos. O controle falha se AssignPublicIP estiver definido como ENABLED.
Um endereço IP público é acessível pela Internet. Se você configurar seu conjunto de tarefas com um endereço IP público, os recursos associados ao conjunto de tarefas poderão ser acessados pela Internet. Os conjuntos de tarefas do ECS não devem ser acessíveis ao público, pois isso pode permitir acesso não pretendido aos servidores de aplicações de contêiner.
Correção
Para atualizar um conjunto de tarefas do ECS para que ele não use um endereço IP público, consulte Atualização de um serviço do Amazon ECS usando o console no Guia do desenvolvedor do Amazon Elastic Container Service.
[ECS.17] As definições de tarefas do ECS não devem usar o modo de rede host
Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6
Categoria: Proteger > Configuração de rede segura
Gravidade: média
Tipo de recurso: AWS::ECS::TaskDefinition
AWS Config Regra: ecs-task-definition-network-mode-not-host
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se a última revisão ativa de uma definição de tarefa do Amazon ECS usa o modo de rede de host. O controle falhará se a última revisão ativa de definição de tarefa do ECS usa o modo de rede de host.
Com o uso do modo de rede de host, a rede do contêiner do Amazon ECS é vinculada diretamente ao host subjacente que está executando o contêiner. Em consequência, esse modo permite que os contêineres se conectem a serviços de rede de loopback privados no host e personifiquem o hospedeiro. Outras desvantagens significativas são que não há como remapear uma porta de contêiner ao usar o modo de rede de host, e não é possível executar mais do que uma única instanciação de uma tarefa em cada host.
Correção
Para obter informações sobre modos e opções de rede para tarefas do Amazon ECS hospedadas em instâncias do Amazon EC2, consulte Opções de rede de tarefas do Amazon ECS para o tipo de execução do EC2 no Guia do desenvolvedor do Amazon Elastic Container Service. Para obter informações sobre como criar uma nova revisão de uma definição de tarefa e especificar um modo de rede diferente, consulte Atualização de uma definição de tarefa do Amazon ECS nesse guia.
Se a definição de tarefa do Amazon ECS foi criada pelo AWS Batch, consulte Modos de rede para trabalhos do AWS Batch para saber mais sobre os modos de rede e o uso típico dos tipos de trabalho do AWS Batch e para escolher uma opção segura.
