使用 AWS KMS 加密 Fargate 的暫時性儲存 Fargate 核心系統呼叫追蹤的 SYS_PTRACE 功能搭配 Fargate 執行時期監控使用 Amazon GuardDuty

Amazon ECS 中的 Fargate 安全最佳實務

建議您在使用 AWS Fargate時考量下列最佳實務。如需其他指引，請參閱的安全概觀 AWS Fargate。

使用 AWS KMS 加密 Fargate 的暫時性儲存

您應該讓 AWS KMS 或您自己的客戶受管金鑰加密暫時性儲存。對於使用平台版本 1.4.0 或更新版本，且託管於 Fargate 上的任務，每個任務都會配置至少 20 GiB 的暫時性儲存。如需詳細資訊，請參閱客戶自管金鑰 (CMK)。您可以增加暫時性儲存的總量，最多可達 200 GiB，方法是在任務定義中指定 ephemeralStorage 參數。對於 2020 年 5 月 28 日當日或之後啟動的此類任務，其暫時性儲存空間均採用 AES-256 加密演算法，並透過 Fargate 託管的加密金鑰進行加密。

如需詳細資訊，請參閱 Amazon ECS 任務的儲存選項。

範例：在 Fargate 平台版本 1.4.0 上啟動具有暫時性儲存加密功能的任務

以下命令將在 Fargate 平台版本 1.4 上啟動任務。由於此任務是作為叢集的組成部分啟動，因此任務會使用自動加密的 20 GiB 暫時性儲存。


aws ecs run-task --cluster clustername \
  --task-definition taskdefinition:version \
  --count 1
  --launch-type "FARGATE" \
  --platform-version 1.4.0 \
  --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ 
  --region region

Fargate 核心系統呼叫追蹤的 SYS_PTRACE 功能

由 Docker 提供從容器中新增或刪除的 Linux 功能預設組態。

在 Fargate 上啟動的任務僅支援新增 SYS_PTRACE 核心功能。

下列影片說明如何透過 Sysdig Falco 專案使用此功能。

在上一個影片中討論的程式碼可以在 GitHub 這裡找到。

搭配 Fargate 執行時期監控使用 Amazon GuardDuty

Amazon GuardDuty 是一種威脅偵測服務，可協助保護您的帳戶、容器、工作負載和 AWS 環境中的資料。GuardDuty 使用機器學習 (ML) 模型，以及異常和威脅偵測功能，持續監控不同的日誌來源和執行時期活動，以識別環境中的潛在安全風險和惡意活動和排定其優先順序。

GuardDuty 中的執行期監控透過持續監控 AWS 日誌和聯網活動來識別惡意或未經授權的行為，來保護在 Fargate 上執行的工作負載。執行時期監控使用輕量且全受管的 GuardDuty 安全代理程式，可分析主機上的行為，例如檔案存取、程序執行與網路連線。這涵蓋的問題包括：提升權限、使用暴露的憑證、與惡意 IP 位址或網域通訊，以及 Amazon EC2 執行個體與容器工作負載上出現惡意軟體。如需詳細資訊，請參閱 GuardDuty User Guide 中的 GuardDuty Runtime Monitoring。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Fargate 適用時機安全考量

Fargate 安全考量