So funktioniert Runtime Monitoring mit Amazon ECS Überlegungen Ressourcenauslastung

Identifizieren Sie unberechtigtes Verhalten mithilfe von Runtime Monitoring

Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihnen hilft, Ihre Konten, Container, Workloads und die Daten in Ihrer AWS Umgebung zu schützen. Mithilfe von Modellen für maschinelles Lernen (ML) und Funktionen zur Erkennung von Anomalien und Bedrohungen werden GuardDuty kontinuierlich verschiedene Protokollquellen und Laufzeitaktivitäten überwacht, um potenzielle Sicherheitsrisiken und böswillige Aktivitäten in Ihrer Umgebung zu identifizieren und zu priorisieren.

Runtime Monitoring in GuardDuty schützt Workloads, die auf Fargate- und EC2 Container-Instances ausgeführt werden, indem es die AWS Protokoll- und Netzwerkaktivitäten kontinuierlich überwacht, um bösartiges oder nicht autorisiertes Verhalten zu identifizieren. Runtime Monitoring verwendet einen schlanken, vollständig verwalteten GuardDuty Security Agent, der das Verhalten auf dem Host analysiert, z. B. den Dateizugriff, die Prozessausführung und Netzwerkverbindungen. Dies deckt Probleme wie die Eskalation von Rechten, die Verwendung offengelegter Anmeldeinformationen oder die Kommunikation mit bösartigen IP-Adressen und Domains sowie das Vorhandensein von Malware auf Ihren EC2 Amazon-Instances und Container-Workloads ab. Weitere Informationen finden Sie unter GuardDutyRuntime Monitoring im GuardDuty Benutzerhandbuch.

Ihr Sicherheitsadministrator aktiviert Runtime Monitoring für ein einzelnes oder mehrere Konten in AWS Organizations für GuardDuty. Sie wählen auch aus, ob der GuardDuty Security Agent GuardDuty automatisch installiert wird, wenn Sie Fargate verwenden. Alle Ihre Cluster sind automatisch geschützt und GuardDuty verwalten den Security Agent in Ihrem Namen.

In den folgenden Fällen können Sie den GuardDuty Security Agent auch manuell konfigurieren:

Sie verwenden EC2 Container-Instances
Sie benötigen eine detaillierte Steuerung, um Runtime Monitoring auf Clusterebene zu aktivieren

Um Runtime Monitoring verwenden zu können, müssen Sie die geschützten Cluster konfigurieren und den GuardDuty Security Agent auf Ihren EC2 Container-Instances installieren und verwalten.

So funktioniert Runtime Monitoring mit Amazon ECS

Runtime Monitoring verwendet einen schlanken GuardDuty Sicherheitsagenten, der die ECS Amazon-Workload-Aktivitäten dahingehend überwacht, wie Anwendungen die zugrunde liegenden Systemressourcen anfordern, darauf zugreifen und diese verbrauchen.

Bei Fargate-Aufgaben wird der GuardDuty Security Agent als Sidecar-Container für jede Aufgabe ausgeführt.

Bei EC2 Container-Instances wird der GuardDuty Security Agent als Prozess auf der Instance ausgeführt.

Der GuardDuty Security Agent sammelt Daten aus den folgenden Ressourcen und sendet die Daten dann GuardDuty zur Verarbeitung an. Sie können die Ergebnisse in der GuardDuty Konsole einsehen. Sie können sie auch an andere Sicherheitsanbieter AWS Security Hub, AWS -Services z. B. oder einen Drittanbieter für Sicherheitslösungen, zur Aggregation und Problembehebung senden. Informationen zum Anzeigen und Verwalten von Ergebnissen finden Sie unter GuardDuty Amazon-Ergebnisse verwalten im GuardDuty Amazon-Benutzerhandbuch.

Antworten auf die folgenden ECS API Amazon-Anrufe:
- DescribeClusters
  
  Zu den Antwortparametern gehört das Runtime Monitoring-Tag (wenn das Tag gesetzt ist), wenn Sie die --include TAGS Option verwenden.
- DescribeTasks
  
  Für den Starttyp Fargate beinhalten die Antwortparameter den GuardDuty Sidecar-Container.
- ListAccountSettings
  
  Zu den Antwortparametern gehört die Runtime Monitoring-Kontoeinstellung, die von Ihrem Sicherheitsadministrator festgelegt wird.
Die Introspektionsdaten des Container-Agenten. Weitere Informationen finden Sie unter Introspektion von ECS Amazon-Containern.
Der Endpunkt der Aufgabenmetadaten für den Starttyp:
- Endpunkt für ECS Amazon-Aufgabenmetadaten, Version 4
- ECSAmazon-Aufgabenmetadaten-Endpunkt Version 4 für Aufgaben auf Fargate

Überlegungen

Beachten Sie bei der Verwendung von Runtime Monitoring Folgendes:

Runtime Monitoring ist mit Kosten verbunden. Weitere Informationen finden Sie unter GuardDuty Amazon-Preise.
Runtime Monitoring wird auf Amazon ECS Anywhere nicht unterstützt.
Runtime Monitoring wird für das Windows-Betriebssystem nicht unterstützt.
Wenn Sie Amazon ECS Exec auf Fargate verwenden, müssen Sie den Container-Namen angeben, da der GuardDuty Security Agent als Sidecar-Container ausgeführt wird.
Sie können Amazon ECS Exec nicht auf dem Sidecar-Container des GuardDuty Security Agents verwenden.
Der IAM Benutzer, der Runtime Monitoring auf Cluster-Ebene steuert, muss über die entsprechenden IAM Tag-Berechtigungen verfügen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter IAMTutorial: Definieren von Berechtigungen für den Zugriff auf AWS Ressourcen auf der Grundlage von Tags.
Fargate-Aufgaben müssen eine Aufgabenausführungsrolle verwenden. Diese Rolle erteilt den Aufgaben die Berechtigung, den GuardDuty Security Agent, der in einem ECR privaten Amazon-Repository gespeichert ist, in Ihrem Namen abzurufen, zu aktualisieren und zu verwalten.

Ressourcenauslastung

Das Tag, das Sie dem Cluster hinzufügen, wird auf das Cluster-Tag-Kontingent angerechnet.

Der GuardDuty Agent-Sidecar-Container wird nicht auf das Kontingent für Container pro Aufgabendefinition angerechnet.

Wie bei der meisten Sicherheitssoftware gibt es einen leichten Mehraufwand für. GuardDuty Informationen zu den Fargate-Speicherlimits finden Sie unter CPUund Speicherlimits im GuardDuty Benutzerhandbuch. Informationen zu den EC2 Speicherlimits von Amazon finden Sie unter CPUund Speicherlimit für GuardDuty Agenten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Introspektion von Containern

Laufzeitüberwachung für Fargate-Workloads