使用執行時期監控識別未經授權的行為 - Amazon Elastic Container Service
執行時期監控如何與 Amazon ECS 搭配運作考量事項資源使用率

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用執行時期監控識別未經授權的行為

Amazon GuardDuty 是一種威脅偵測服務,可協助保護您的帳戶、容器、工作負載和 AWS 環境中的資料。GuardDuty 使用機器學習 (ML) 模型,以及異常和威脅偵測功能,持續監控不同的日誌來源和執行時期活動,以識別環境中的潛在安全風險和惡意活動和排定其優先順序。

GuardDuty 中的執行期監控透過持續監控 AWS 日誌和聯網活動來識別惡意或未經授權的行為,來保護 Fargate 和 EC2 容器執行個體上執行的工作負載。執行時期監控使用輕量且全受管的 GuardDuty 安全代理程式,可分析主機上的行為,例如檔案存取、程序執行與網路連線。這涵蓋的問題包括:提升權限、使用暴露的憑證、與惡意 IP 位址或網域通訊,以及 Amazon EC2 執行個體與容器工作負載上出現惡意軟體。如需詳細資訊,請參閱 GuardDuty User Guide 中的 GuardDuty Runtime Monitoring

您的安全管理員可以在 AWS Organizations 中,為一或多個帳戶啟用 GuardDuty 的執行時期監控功能。他們也會選取當您使用 Fargate 時,GuardDuty 是否自動部署 GuardDuty 安全代理程式。所有叢集都會自動受到保護,GuardDuty 會代為管理安全代理程式。

在下列情況下,您也可以手動設定 GuardDuty 安全代理程式:

  • 使用 EC2 容器執行個體

  • 您需要精細控制權限,在叢集層級啟用執行時期監控

若要使用執行時期監控,必須設定受保護的叢集,並在 EC2 容器執行個體上安裝並管理 GuardDuty 安全代理程式。

執行時期監控如何與 Amazon ECS 搭配運作

執行時期監控使用輕量型 GuardDuty 安全代理程式,該程式會監控 Amazon ECS 工作負載的活動,藉此分析應用程式如何請求、取得存取權及消耗底層系統資源。

對於 Fargate 任務,GuardDuty 安全代理程式會作為每個任務的邊車容器執行。

對於 EC2 容器執行個體,GuardDuty 安全代理程式會在執行個體上作為程序執行。

GuardDuty 安全代理程式會收集下列資源的資料,然後將資料傳送至 GuardDuty 進行處理。您可以在 GuardDuty 主控台中檢視調查結果。您也可以將它們傳送到其他 AWS Security Hub CSPM, AWS 服務 例如 或第三方安全廠商,以進行彙總和修復。如需有關如何檢視與管理調查結果的資訊,請參閱 Amazon GuardDuty User Guide 中的 Managing Amazon GuardDuty findings

考量事項

使用執行時期監控時,建議考量下列事項:

  • 執行時期監控會產生相關成本。如需更多資訊,請參閱 Amazon GuardDuty 定價

  • Amazon ECS Anywhere 不支援執行時期監控。

  • Windows 作業系統不支援執行時期監控。

  • 當您在 Fargate 上使用 Amazon ECS Exec 時,必須指定容器名稱,因為 GuardDuty 安全代理程式會作為邊車容器執行。

  • 您無法在 GuardDuty 安全代理程式邊車容器上使用 Amazon ECS Exec。

  • 在叢集層級控制執行時期監控的 IAM 使用者,必須具備適當的 IAM 許可才能進行標籤作業。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 教學課程:定義根據標籤存取 AWS 資源的許可

  • Fargate 任務必須使用任務執行角色。此角色會授予任務許可,使其能代為擷取、更新與管理儲存在 Amazon ECR 私有儲存庫中的 GuardDuty 安全代理程式。

  • 在 Amazon ECS 受管執行個體上執行的應用程式不支援執行時期監控。

資源使用率

您新增至叢集的標籤會計入叢集標籤配額。

GuardDuty 代理程式邊車容器不會計入每個任務定義配額的容器數目。

與大多數安全軟體一樣,GuardDuty 也有少量額外負荷。如需有關 Fargate 記憶體限制的資訊,請參閱 GuardDuty User Guide 中的 CPU and memory limits。如需有關 Amazon EC2 記憶體限制的資訊,請參閱 CPU and memory limit for GuardDuty agent