Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Sicherheitsmethoden von Fargate in Amazon ECS
Wir empfehlen, dass Sie die folgenden bewährten Methoden berücksichtigen, wenn Sie AWS Fargate verwenden. Weitere Hinweise finden Sie unter Sicherheitsüberblick von. AWS Fargate
Wird verwendet AWS KMS , um kurzlebigen Speicher für Fargate zu verschlüsseln
Sie sollten Ihren kurzlebigen Speicher entweder mit Ihren eigenen, vom Kunden verwalteten Schlüsseln AWS KMS verschlüsseln lassen. Für Aufgaben, die mit der Plattformversion 1.4.0 oder höher auf Fargate gehostet werden, erhält jede Aufgabe 20 GiB flüchtigen Speicher. Weitere Informationen finden Sie unter vom Kunden verwalteter Schlüssel (CMK). Sie können die Gesamtmenge des flüchtigen Speichers bis zu einem Maximum von 200 GiB erhöhen, indem Sie den ephemeralStorage-Parameter in Ihrer Aufgabendefinition angeben. Für solche Aufgaben, die am 28. Mai 2020 oder später gestartet wurden, wird der kurzlebige Speicher mit einem AES-256-Verschlüsselungsalgorithmus unter Verwendung eines von Fargate verwalteten Verschlüsselungsschlüssels verschlüsselt.
Weitere Informationen finden Sie unter Speicheroptionen für Amazon ECS-Aufgaben.
Beispiel: Starten einer Aufgabe auf der Fargate-Plattformversion 1.4.0 mit kurzlebiger Speicherverschlüsselung
Der folgende Befehl startet eine Aufgabe auf der Fargate-Plattform Version 1.4. Da diese Aufgabe als Teil des Clusters gestartet wird, verwendet sie den flüchtigen Speicher von 20 GiB, der automatisch verschlüsselt wird.
aws ecs run-task --cluster clustername \ --task-definitiontaskdefinition:version\ --count 1 --launch-type "FARGATE" \ --platform-version 1.4.0 \ --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ --region region
SYS_PTRACE-Fähigkeit für Kernel-Syscall-Tracing mit Fargate
Die Standardkonfiguration der Linux-Funktionen, die Ihrem Container hinzugefügt oder entfernt werden, wird von Docker bereitgestellt.
Aufgaben, die auf Fargate gestartet werden, unterstützen lediglich das Hinzufügen der SYS_PTRACE-Kernelfunktion.
Das folgende Video zeigt, wie Sie diese Funktion im Sysdig Falco-Projekt verwenden können.
Den im vorherigen Video besprochenen Code finden Sie hier. GitHub
Verwenden Sie Amazon GuardDuty mit Fargate Runtime Monitoring
Amazon GuardDuty ist ein Service zur Bedrohungserkennung, der Ihnen hilft, Ihre Konten, Container, Workloads und die Daten in Ihrer AWS Umgebung zu schützen. Mithilfe von Modellen für maschinelles Lernen (ML) und Funktionen zur Erkennung von Anomalien und Bedrohungen werden GuardDuty kontinuierlich verschiedene Protokollquellen und Laufzeitaktivitäten überwacht, um potenzielle Sicherheitsrisiken und böswillige Aktivitäten in Ihrer Umgebung zu identifizieren und zu priorisieren.
Runtime Monitoring in GuardDuty schützt Workloads, die auf Fargate ausgeführt werden, indem es die AWS Protokoll- und Netzwerkaktivitäten kontinuierlich überwacht, um bösartiges oder nicht autorisiertes Verhalten zu identifizieren. Runtime Monitoring verwendet einen schlanken, vollständig verwalteten GuardDuty Security Agent, der das Verhalten auf dem Host analysiert, z. B. den Dateizugriff, die Prozessausführung und Netzwerkverbindungen. Dies deckt Probleme wie die Eskalation von Rechten, die Verwendung offengelegter Anmeldeinformationen oder die Kommunikation mit bösartigen IP-Adressen und Domains sowie das Vorhandensein von Malware auf Ihren EC2 Amazon-Instances und Container-Workloads ab. Weitere Informationen finden Sie unter GuardDuty Runtime Monitoring im GuardDuty Benutzerhandbuch.
