Identifiez les comportements non autorisés grâce à la surveillance du temps d'exécution - Amazon Elastic Container Service
Comment fonctionne la surveillance du temps d'exécution avec Amazon ECSConsidérationsUtilisation des ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identifiez les comportements non autorisés grâce à la surveillance du temps d'exécution

Amazon GuardDuty est un service de détection des menaces qui aide à protéger vos comptes, vos conteneurs, vos charges de travail et les données de votre AWS environnement. À l'aide de modèles d'apprentissage automatique (ML) et de capacités de détection des anomalies et des menaces, vous surveillez GuardDuty en permanence les différentes sources de journaux et l'activité d'exécution afin d'identifier et de hiérarchiser les risques de sécurité potentiels et les activités malveillantes dans votre environnement.

La surveillance du temps d'exécution GuardDuty protège les charges de travail exécutées sur les instances de conteneur Fargate et EC2 en AWS surveillant en permanence les journaux et l'activité réseau afin d'identifier les comportements malveillants ou non autorisés. Runtime Monitoring utilise un agent de GuardDuty sécurité léger et entièrement géré qui analyse le comportement sur l'hôte, tel que l'accès aux fichiers, l'exécution des processus et les connexions réseau. Cela couvre des problèmes tels que l'augmentation des privilèges, l'utilisation d'informations d'identification divulguées ou la communication avec des adresses IP ou des domaines malveillants, ainsi que la présence de logiciels malveillants sur vos instances Amazon EC2 et vos charges de travail de conteneur. Pour plus d'informations, consultez la section Surveillance du temps GuardDuty d'exécution dans le guide de GuardDuty l'utilisateur.

Votre administrateur de sécurité active la surveillance du temps d'exécution pour un ou plusieurs comptes dans AWS Organizations for GuardDuty. Ils déterminent également s'il déploie GuardDuty automatiquement l'agent de GuardDuty sécurité lorsque vous utilisez Fargate. Tous vos clusters sont automatiquement protégés et GuardDuty gèrent l'agent de sécurité en votre nom.

Vous pouvez également configurer manuellement l'agent GuardDuty de sécurité dans les cas suivants :

  • Vous utilisez des instances de conteneur EC2

  • Vous avez besoin d'un contrôle granulaire pour activer la surveillance du temps d'exécution au niveau du cluster

Pour utiliser la surveillance du temps d'exécution, vous devez configurer les clusters protégés, puis installer et gérer l'agent GuardDuty de sécurité sur vos instances de conteneur EC2.

Comment fonctionne la surveillance du temps d'exécution avec Amazon ECS

Runtime Monitoring utilise un agent GuardDuty de sécurité léger qui surveille l'activité de la charge de travail Amazon ECS pour déterminer comment les applications demandent, obtiennent l'accès et consomment les ressources système sous-jacentes.

Pour les tâches Fargate, GuardDuty l'agent de sécurité s'exécute comme un conteneur annexe pour chaque tâche.

Pour les instances de conteneur EC2, l'agent GuardDuty de sécurité s'exécute en tant que processus sur l'instance.

L'agent GuardDuty de sécurité collecte des données à partir des ressources suivantes, puis les envoie GuardDuty à des fins de traitement. Vous pouvez consulter les résultats dans la GuardDuty console. Vous pouvez également les envoyer à un autre fournisseur Services AWS de sécurité ou à un fournisseur de sécurité tiers pour les agréger et les corriger. AWS Security Hub Pour plus d'informations sur la façon de consulter et de gérer les résultats, consultez la section Gérer GuardDuty les résultats d'Amazon dans le guide de GuardDuty l'utilisateur Amazon.

Considérations

Lorsque vous utilisez la surveillance du temps d'exécution, tenez compte des points suivants :

  • La surveillance du temps d'exécution a un coût associé. Pour plus d'informations, consultez Amazon GuardDuty Pricing.

  • La surveillance du temps d'exécution n'est pas prise en charge sur Amazon ECS Anywhere.

  • La surveillance du temps d'exécution n'est pas prise en charge pour le système d'exploitation Windows.

  • Lorsque vous utilisez Amazon ECS Exec sur Fargate, vous devez spécifier le nom du conteneur car GuardDuty l'agent de sécurité s'exécute comme un conteneur annexe.

  • Vous ne pouvez pas utiliser Amazon ECS Exec sur le conteneur latéral GuardDuty de l'agent de sécurité.

  • L'utilisateur IAM qui contrôle la surveillance du temps d'exécution au niveau du cluster doit disposer des autorisations IAM appropriées pour le balisage. Pour plus d'informations, consultez le didacticiel IAM : Définissez les autorisations d'accès aux AWS ressources en fonction des balises du guide de l'utilisateur IAM.

  • Les tâches Fargate doivent utiliser un rôle d'exécution de tâches. Ce rôle autorise les tâches à récupérer, mettre à jour et gérer l'agent GuardDuty de sécurité, qui est stocké dans un référentiel privé Amazon ECR, en votre nom.

Utilisation des ressources

La balise que vous ajoutez au cluster est prise en compte dans le quota de balises du cluster.

Le conteneur annexe de l' GuardDuty agent n'est pas pris en compte dans le quota de définition de conteneurs par tâche.

Comme pour la plupart des logiciels de sécurité, il y a une légère surcharge pour GuardDuty. Pour plus d'informations sur les limites de mémoire de Fargate, consultez la section Limites de processeur et de mémoire dans GuardDuty le guide de l'utilisateur. Pour plus d'informations sur les limites de mémoire d'Amazon EC2, consultez la section Limite de processeur et de mémoire pour GuardDuty l'agent.