Amazon ECS 中的 Fargate 安全最佳實務 - Amazon Elastic Container Service
使用 AWS KMS 加密 Fargate 的暫時性儲存使用 Fargate 進行核心 syscall 追蹤的 SYS_PTRACE 功能搭配 Fargate 執行期監控使用 Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon ECS 中的 Fargate 安全最佳實務

建議您在使用 AWS Fargate時考量下列最佳實務。如需其他指引,請參閱 的安全概觀 AWS Fargate

使用 AWS KMS 加密 Fargate 的暫時性儲存

您應該讓 AWS KMS 或您自己的客戶受管金鑰加密暫時性儲存。對於使用平台版本 1.4.0或更新版本在 Fargate 上託管的任務,每個任務都會接收 20 GiB 的暫時性儲存。如需詳細資訊,請參閱客戶受管金鑰 (CMK)。您可以增加暫時性儲存的總量,最多可達 200 GiB,方法是在任務定義中指定 ephemeralStorage 參數。對於 2020 年 5 月 28 日或之後啟動的這類任務,暫時性儲存會使用 Fargate 管理的加密金鑰,以 AES-256 加密演算法加密。

如需詳細資訊,請參閱 Amazon ECS 任務的儲存選項

範例:使用暫時性儲存加密在 Fargate 平台 1.4.0 版上啟動 任務

下列命令將在 Fargate 平台 1.4 版上啟動任務。由於此任務是做為叢集的一部分啟動,因此會使用自動加密的 20 GiB 暫時性儲存體。

aws ecs run-task --cluster clustername \
  --task-definition taskdefinition:version \
  --count 1
  --launch-type "FARGATE" \
  --platform-version 1.4.0 \
  --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ 
  --region region

使用 Fargate 進行核心 syscall 追蹤的 SYS_PTRACE 功能

由 Docker 提供從容器中新增或刪除的 Linux 功能預設組態。

在 Fargate 上啟動的任務僅支援新增 SYS_PTRACE 核心功能。

下列影片說明如何透過 Sysdig Falco 專案使用此功能。

在上一個影片中討論的程式碼可以在 GitHub 這裡找到。

搭配 Fargate 執行期監控使用 Amazon GuardDuty

Amazon GuardDuty 是一種威脅偵測服務,可協助保護您的帳戶、容器、工作負載和 AWS 環境中的資料。GuardDuty 使用機器學習 (ML) 模型,以及異常和威脅偵測功能,持續監控不同的日誌來源和執行時間活動,以識別環境中的潛在安全風險和惡意活動的優先順序。

GuardDuty 中的執行期監控透過持續監控 AWS 日誌和聯網活動來識別惡意或未經授權的行為,來保護在 Fargate 上執行的工作負載。執行期監控使用輕量型、全受管的 GuardDuty 安全代理程式來分析主機上的行為,例如檔案存取、程序執行和網路連線。這涵蓋的問題包括權限提升、使用公開的登入資料,或與惡意 IP 地址、網域的通訊,以及 Amazon EC2 執行個體和容器工作負載上存在惡意軟體。如需詳細資訊,請參閱《GuardDuty 使用者指南》中的 GuardDuty 執行期監控GuardDuty