Comment fonctionne la surveillance du temps d'exécution avec Fargate (Amazon uniquement) ECS - Amazon GuardDuty
Approches pour gérer les agents GuardDuty de sécurité dans Amazon ECS -Fargate Resources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne la surveillance du temps d'exécution avec Fargate (Amazon uniquement) ECS

Lorsque vous activez la surveillance du temps d' GuardDuty exécution, il est prêt à consommer les événements d'exécution d'une tâche. Ces tâches s'exécutent au sein des ECS clusters Amazon, qui à leur tour s'exécutent sur les AWS Fargate instances. GuardDuty Pour recevoir ces événements d'exécution, vous devez utiliser l'agent de sécurité dédié entièrement géré.

Vous pouvez GuardDuty autoriser la gestion de l'agent GuardDuty de sécurité en votre nom, en utilisant la configuration automatique de l'agent pour un AWS compte ou une organisation. GuardDuty commencera à déployer l'agent de sécurité sur les nouvelles tâches Fargate lancées dans vos clusters Amazon. ECS La liste suivante indique ce à quoi vous devez vous attendre lorsque vous activez l'agent GuardDuty de sécurité.

Impact de l'activation de l'agent GuardDuty de sécurité
GuardDuty crée un point de terminaison et un groupe de sécurité dans un cloud privé virtuel (VPC)

  • Lorsque vous déployez l'agent GuardDuty de sécurité, GuardDuty vous créez un VPC point de terminaison via lequel l'agent de sécurité transmet les événements d'exécution GuardDuty.

    En plus du VPC point de terminaison, il crée GuardDuty également un nouveau groupe de sécurité. Les règles d'entrée contrôlent le trafic autorisé à atteindre les ressources associées au groupe de sécurité. GuardDuty ajoute des règles entrantes qui correspondent à la VPC CIDR plage de votre ressource et s'y adapte également lorsque la CIDR plage change. Pour plus d'informations, consultez la section relative à la VPCCIDRgamme dans le guide de VPC l'utilisateur Amazon.

  • Utilisation d'un agent centralisé VPC avec un agent automatisé — Lorsque vous utilisez la configuration d'agent GuardDuty automatisée pour un type de ressource, GuardDuty vous créez un VPC point de terminaison en votre nom pour tous lesVPCs. Cela inclut les systèmes centralisés VPC et parlésVPCs. GuardDutyne prend pas en charge la création d'un VPC point de terminaison uniquement pour le système centraliséVPC. Pour plus d'informations sur le VPC fonctionnement de la centralisation, consultez la section VPCPoints de terminaison de l'interface dans le AWS livre blanc intitulé « Création d'une infrastructure multiréseau évolutive et sécurisée ». VPC AWS

  • Il n'y a aucun coût supplémentaire pour l'utilisation du VPC terminal.

GuardDuty ajoute un conteneur de sidecar

Pour une nouvelle tâche ou un nouveau service Fargate qui commence à s'exécuter, GuardDuty un conteneur (sidecar) s'attache à chaque conteneur au sein de la tâche Amazon Fargate. ECS L'agent GuardDuty de sécurité fonctionne dans le GuardDuty conteneur joint. Cela permet GuardDuty de collecter les événements d'exécution de chaque conteneur exécuté dans le cadre de ces tâches.

Lorsque vous démarrez une tâche Fargate, si GuardDuty le conteneur (sidecar) ne peut pas être lancé correctement, la surveillance du temps d'exécution est conçue pour ne pas empêcher l'exécution des tâches.

Par défaut, une tâche Fargate est immuable. GuardDuty ne déploiera pas le sidecar lorsqu'une tâche est déjà en cours d'exécution. Si vous souhaitez surveiller un conteneur dans une tâche déjà en cours d'exécution, vous pouvez arrêter la tâche et la redémarrer.

Approches pour gérer les agents GuardDuty de sécurité dans Amazon ECS -Fargate Resources

La surveillance du temps d'exécution vous permet de détecter les menaces de sécurité potentielles sur tous les ECS clusters Amazon (au niveau du compte) ou sur des clusters sélectifs (au niveau du cluster) de votre compte. Lorsque vous activez la configuration automatisée des agents pour chaque tâche Amazon ECS Fargate qui sera exécutée GuardDuty , un conteneur annexe sera ajouté pour chaque charge de travail de conteneur au sein de cette tâche. L'agent GuardDuty de sécurité est déployé dans ce conteneur de side-car. C'est ainsi que l' GuardDuty on obtient une visibilité sur le comportement d'exécution des conteneurs dans les ECS tâches Amazon.

Runtime Monitoring prend en charge la gestion de l'agent de sécurité pour vos ECS clusters Amazon (AWS Fargate) uniquement via GuardDuty. La gestion manuelle de l'agent de sécurité sur les ECS clusters Amazon n'est pas prise en charge.

Avant de configurer vos comptes, déterminez si vous souhaitez surveiller le comportement d'exécution de tous les conteneurs appartenant aux ECS tâches Amazon, ou si vous souhaitez inclure ou exclure des ressources spécifiques. Envisagez les approches suivantes.

Surveillez tous les ECS clusters Amazon

Cette approche vous aidera à détecter les menaces de sécurité potentielles au niveau du compte. Utilisez cette approche lorsque vous GuardDuty souhaitez détecter des menaces de sécurité potentielles pour tous les ECS clusters Amazon appartenant à votre compte.

Exclure des ECS clusters Amazon spécifiques

Utilisez cette approche lorsque vous GuardDuty souhaitez détecter des menaces de sécurité potentielles pour la plupart des ECS clusters Amazon de votre AWS environnement, mais en exclure certains. Cette approche vous permet de surveiller le comportement d'exécution des conteneurs au sein de vos ECS tâches Amazon au niveau du cluster. Par exemple, le nombre de ECS clusters Amazon appartenant à votre compte est de 1 000. Toutefois, vous ne souhaitez surveiller que 930 ECS clusters Amazon.

Cette approche vous oblige à ajouter une GuardDuty balise prédéfinie aux ECS clusters Amazon que vous ne souhaitez pas surveiller. Pour de plus amples informations, veuillez consulter Gestion de l'agent de sécurité automatisé pour Fargate (Amazon uniquement) ECS.

Inclure des ECS clusters Amazon spécifiques

Utilisez cette approche lorsque vous GuardDuty souhaitez détecter des menaces de sécurité potentielles pour certains ECS clusters Amazon. Cette approche vous permet de surveiller le comportement d'exécution des conteneurs au sein de vos ECS tâches Amazon au niveau du cluster. Par exemple, le nombre de ECS clusters Amazon appartenant à votre compte est de 1 000. Toutefois, vous ne souhaitez surveiller que 230 clusters.

Cette approche vous oblige à ajouter une GuardDuty balise prédéfinie aux ECS clusters Amazon que vous souhaitez surveiller. Pour de plus amples informations, veuillez consulter Gestion de l'agent de sécurité automatisé pour Fargate (Amazon uniquement) ECS.