So funktioniert Runtime Monitoring mit Fargate (ECSnur Amazon) - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert Runtime Monitoring mit Fargate (ECSnur Amazon)

Wenn Sie Runtime Monitoring aktivieren, ist GuardDuty es bereit, die Laufzeitereignisse einer Aufgabe zu verarbeiten. Diese Aufgaben laufen innerhalb der ECS Amazon-Cluster, die wiederum auf den AWS Fargate (Fargate) Instanzen. GuardDuty Um diese Runtime-Ereignisse empfangen zu können, müssen Sie den vollständig verwalteten, dedizierten Security Agent verwenden.

Runtime Monitoring unterstützt die Verwaltung des Security Agents für Ihre ECS Amazon-Cluster (AWS Fargate) nur durch GuardDuty. Die manuelle Verwaltung des Security Agents auf ECS Amazon-Clustern wird nicht unterstützt.

Sie können zulassen GuardDuty , dass der GuardDuty Security Agent in Ihrem Namen verwaltet wird, indem Sie die automatische Agentenkonfiguration für eine AWS Konto oder Organisation. GuardDuty beginnt mit der Bereitstellung des Security Agents für die neuen Fargate-Aufgaben, die in Ihren ECS Amazon-Clustern gestartet werden. In der folgenden Liste wird angegeben, was zu erwarten ist, wenn Sie den GuardDuty Security Agent aktivieren.

Auswirkungen der Aktivierung des GuardDuty Security Agents
GuardDuty erstellt einen Virtual Private Cloud (VPC) -Endpunkt und eine Sicherheitsgruppe

  • Wenn Sie den GuardDuty Security Agent bereitstellen, GuardDuty erstellt er einen VPC Endpunkt, über den der Security Agent die Runtime-Ereignisse übermittelt GuardDuty.

    Erstellt zusammen mit dem VPC Endpunkt GuardDuty auch eine neue Sicherheitsgruppe. Die Regeln für eingehenden Datenverkehr (Eingang) steuern den Datenverkehr, der die Ressourcen erreichen darf, die der Sicherheitsgruppe zugeordnet sind. GuardDuty fügt Regeln für eingehenden Datenverkehr hinzu, die dem VPC CIDR Bereich für Ihre Ressource entsprechen, und passt sich diesem auch an, wenn sich der CIDR Bereich ändert. Weitere Informationen finden Sie unter VPCCIDRReichweite im VPCAmazon-Benutzerhandbuch.

  • Arbeiten VPC mit zentralisiertem und automatisiertem Agenten — Wenn Sie die GuardDuty automatische Agentenkonfiguration für einen Ressourcentyp verwenden, GuardDuty wird in Ihrem Namen ein VPC Endpunkt für alle VPCs Dazu gehören der zentralisierte Modus VPC und der Spoke-ModusVPCs. GuardDuty unterstützt nicht die Erstellung eines VPC Endpunkts nur für zentralisierte BenutzerVPC. Weitere Informationen zur VPC Funktionsweise des zentralisierten Systems finden Sie unter VPCSchnittstellen-Endpunkte in der AWS Whitepaper — Aufbau eines skalierbaren und sicheren Multifunktionsgeräts VPC AWS Netzwerk-Infrastruktur.

  • Für die Nutzung des VPC Endpunkts fallen keine zusätzlichen Kosten an.

GuardDuty fügt einen Sidecar-Container hinzu

Bei einer neuen Fargate-Aufgabe oder einem neuen Fargate-Dienst, der gestartet wird, hängt sich ein GuardDuty Container (Sidecar) an jeden Container innerhalb der Amazon Fargate-Aufgabe an. ECS Der GuardDuty Security Agent wird innerhalb des angehängten Containers ausgeführt. GuardDuty Auf diese Weise GuardDuty können die Laufzeitereignisse jedes Containers erfasst werden, der im Rahmen dieser Tasks ausgeführt wird.

Wenn Sie eine Fargate-Aufgabe starten und der GuardDuty Container (Sidecar) nicht in einem fehlerfreien Zustand gestartet werden kann, ist Runtime Monitoring so konzipiert, dass die Ausführung der Aufgaben nicht verhindert wird.

Standardmäßig ist eine Fargate-Aufgabe unveränderlich. GuardDuty stellt den Sidecar nicht bereit, wenn sich eine Aufgabe bereits im laufenden Zustand befindet. Wenn Sie einen Container in einer bereits laufenden Aufgabe überwachen möchten, können Sie die Aufgabe beenden und erneut starten.