Identificación de comportamientos no autorizados mediante la supervisión en tiempo de ejecución

Amazon GuardDuty es un servicio de detección de amenazas que ayuda a proteger las cuentas, los contenedores, las cargas de trabajo y los datos de su entorno de AWS. Mediante modelos de machine learning (ML) y capacidades de detección de anomalías y amenazas, GuardDuty supervisa continuamente los diferentes orígenes de registro y la actividad en tiempo de ejecución para identificar y priorizar los posibles riesgos de seguridad y actividades maliciosas en su entorno.

La supervisión en tiempo de ejecución de GuardDuty protege las cargas de trabajo que se ejecutan en instancias de contenedor de Fargate y EC2 mediante la supervisión continua de la actividad de registro y red de AWS para identificar comportamientos malintencionados o no autorizados. La supervisión en tiempo de ejecución utiliza un agente de seguridad de GuardDuty ligero y totalmente administrado que analiza el comportamiento en el host (como el acceso a los archivos, la ejecución de procesos y las conexiones de red). Esto abarca problemas como el escalado de privilegios, el uso de credenciales expuestas, la comunicación con direcciones IP malintencionadas, los dominios y la presencia de malware en las cargas de trabajo de contenedores e instancias de Amazon EC2. Para obtener más información, consulte GuardDuty Runtime Monitoring en la Guía del usuario de GuardDuty.

El administrador de seguridad habilita la supervisión en tiempo de ejecución para una o varias cuentas en AWS Organizations para GuardDuty. También selecciona si GuardDuty implementa automáticamente el agente de seguridad de GuardDuty cuando utiliza Fargate. Todos los clústeres se protegen automáticamente y GuardDuty administra el agente de seguridad en su nombre.

También puede configurar manualmente el agente de seguridad de GuardDuty en los siguientes casos:

• Al usar instancias de contenedor de EC2

• Necesita control granular para habilitar la supervisión en tiempo de ejecución a nivel de clúster

Para usar la supervisión en tiempo de ejecución, debe configurar los clústeres que están protegidos e instalar y administrar el agente de seguridad de GuardDuty en las instancias de contenedor de EC2.

Cómo funciona la supervisión en tiempo de ejecución con Amazon ECS

La supervisión en tiempo de ejecución utiliza un agente de seguridad de GuardDuty ligero que supervisa la actividad de la carga de trabajo de Amazon ECS para ver cómo las aplicaciones solicitan, obtienen acceso y consumen los recursos subyacentes del sistema.

Para las tareas de Fargate, el agente de seguridad de GuardDuty funciona como un contenedor sidecar para cada tarea.

En el caso de las instancias de contenedor de EC2, el agente de seguridad de GuardDuty se ejecuta como un proceso en la instancia.

El agente de seguridad de GuardDuty recopila datos de los siguientes recursos y, a continuación, los envía a GuardDuty para que los procese. Puede ver los resultados en la consola de GuardDuty. También puede enviarlos a otros Servicios de AWS, como AWS Security Hub o un proveedor de seguridad externo, para su agregación y corrección. Para obtener información sobre cómo ver y administrar los resultados, consulte Managing Amazon GuardDuty findings en la Guía del usuario de Amazon GuardDuty.

• Respuestas de las siguientes llamadas a la API de Amazon ECS:

  • DescribeClusters

    Los parámetros de respuesta incluyen la etiqueta de supervisión en tiempo de ejecución (si la etiqueta está configurada) al utilizar la opción --include TAGS.

  • DescribeTasks

    Para el tipo de lanzamiento de Fargate, los parámetros de respuesta incluyen el contenedor sidecar de GuardDuty.

  • ListAccountSettings

    Los parámetros de respuesta incluyen la configuración de la cuenta de supervisión en tiempo de ejecución, que establece el administrador de seguridad.

• Los datos de introspección del agente de contenedor. Para obtener más información, consulte Introspección de contenedor de Amazon ECS.

• El punto de conexión de metadatos de la tarea para el tipo de lanzamiento:

  • Versión 4 del punto de conexión de metadatos de tareas de Amazon ECS

  • Versión 4 del punto de conexión de los metadatos de tareas de Amazon ECS para tareas en Fargate

Consideraciones

Tenga en cuenta lo siguiente al utilizar a supervisión en tiempo de ejecución:

• La supervisión en tiempo de ejecución tiene un costo asociado. Para obtener más información, consulte Precios de Amazon GuardDuty.

• La supervisión en tiempo de ejecución no se admite en Amazon ECS Anywhere.

• La supervisión en tiempo de ejecución no es compatible con el sistema operativo Windows.

• Cuando usa Amazon ECS Exec en Fargate, debe especificar el nombre del contenedor, ya que el agente de seguridad de GuardDuty funciona como un contenedor sidecar.

• No puede usar Amazon ECS Exec en el contenedor sidecar del agente de seguridad de GuardDuty.

• El usuario de IAM que controla la supervisión en tiempo de ejecución en los clústeres debe tener los permisos de IAM adecuados para el etiquetado. Para obtener más información, consulte IAM tutorial: Define permissions to access AWS resources based on tags en la Guía del usuario de IAM.

• Las tareas de Fargate deben tener un rol de ejecución de tareas. Este rol concede a las tareas permiso para recuperar, actualizar y administrar el agente de seguridad de GuardDuty (que está almacenado en un repositorio privado de Amazon ECR) en su nombre.

Uso de los recursos

La etiqueta que agregue al clúster se tendrá en cuenta para la cuota de etiquetas del clúster.

El contenedor sidecar del agente de GuardDuty no se incluye en la cuota de contenedores por definición de tarea.

Como ocurre con la mayoría de los programas de seguridad, GuardDuty tiene una ligera sobrecarga. Para obtener información sobre los límites de memoria de Fargate, consulte CPU and memory limits en la Guía del usuario de GuardDuty. Para obtener información sobre los límites de memoria de Amazon EC2, consulte CPU and memory limit for GuardDuty agent.