AWS Fargate-Sicherheit

Wir empfehlen, die folgenden bewährten Methoden beim Verwenden vonAWS Fargate.

Verwenden vonAWS KMS, um ephemeren Speicher zu verschlüsseln

Sie sollten Ihren ephemeren Speicher verschlüsselt lassen, indem SieAWS KMS. Für Amazon ECS-Aufgaben, die aufAWS FargateVerwenden der Plattformversion1.4.0oder höher wird jeder -Aufgabe 20 GB flüchtigen Speicher zugewiesen. Die Menge des Speichers ist nicht einstellbar. Bei solchen Aufgaben, die am 28. Mai 2020 oder später gestartet wurden, wird der flüchtige Speicher mit einem AES-256-Verschlüsselungsalgorithmus unter Verwendung eines von verwalteten Verschlüsselungsschlüssels verschlüsselt.AWS Fargate.

Beispiel: Starten einer Amazon ECS-Aufgabe aufAWS FargatePlattformversion 1.4.0 mit flüchtiger Speicherverschlüsselung

Der folgende Befehl startet eine Amazon ECS-Aufgabe aufAWS FargateVersion 1.4. Da diese Aufgabe als Teil des Amazon ECS-Clusters gestartet wird, werden 20 GB temporären Speicher verwendet, der automatisch verschlüsselt wird.

aws ecs run-task --cluster clustername \
  --task-definition taskdefinition:version \
  --count 1
  --launch-type "FARGATE" \
  --platform-version 1.4.0 \
  --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ 
  --region region

SYS_PTRACE-Funktion für Kernel-Syscall-Ablaufverfolgung

Die Standardkonfiguration von Linux-Funktionen, die Ihrem Container hinzugefügt oder entfernt werden, wird von Docker bereitgestellt. Weitere Informationen zu den verfügbaren Funktionen finden Sie unterLaufzeitberechtigung und Linux-FunktionenimDocker-Ausführung-Dokumentation.

Aufgaben, die aufAWS Fargateunterstützt nur das Hinzufügen derSYS_PTRACEKernel verwenden.

Lesen Sie das Tutorial-Video unten, das zeigt, wie Sie diese Funktion über die Sysdig verwendenFalco-Projekt.

Der Code, der im vorherigen Video beschrieben wird, kann auf GitHub gefunden werdenHier gilt.