Debe tener en cuenta una única instancia de contenedor y su acceso dentro de su modelo de amenazas. Por ejemplo, es posible que una sola tarea afectada aproveche los permisos de IAM de una tarea no infectada en la misma instancia.
Le recomendamos que utilice el siguiente procedimiento para evitarlo:
-
No utilice los privilegios de administrador al ejecutar sus tareas.
-
Asigne un rol de tarea con acceso de privilegio mínimo a sus tareas.
El agente de contenedor crea automáticamente un token con un ID de credencial único que se utiliza para acceder a los recursos de Amazon ECS.
-
Para impedir que los contenedores de las tareas que usan el modo de red
awsvpcobtengan acceso a la información sobre credenciales proporcionada al perfil de instancia de Amazon EC2, pero dejar los permisos proporcionados por el rol de tarea, establezca la variable de configuración del agenteECS_AWSVPC_BLOCK_IMDSen verdadero en el archivo de configuración del agente y reinícielo. -
Utilice la supervisión en tiempo de ejecución de Amazon GuardDuty para detectar amenazas para los clústeres y contenedores de su entorno de AWS. La supervisión en tiempo de ejecución utiliza un agente de seguridad de GuardDuty que agrega visibilidad en tiempo de ejecución a las cargas de trabajo individuales de Amazon ECS (por ejemplo, el acceso a los archivos, la ejecución de procesos y las conexiones de red). Para obtener más información, consulte GuardDuty Runtime Monitoring en la Guía del usuario de GuardDuty.
