Bagaimana Runtime Monitoring bekerja dengan Amazon ECS Pertimbangan Pemanfaatan Sumber Daya

Identifikasi perilaku yang tidak sah menggunakan Runtime Monitoring

Amazon GuardDuty adalah layanan deteksi ancaman yang membantu melindungi akun, wadah, beban kerja, dan data di AWS lingkungan Anda. Menggunakan model machine learning (ML), serta kemampuan deteksi anomali dan ancaman, GuardDuty terus memantau berbagai sumber log dan aktivitas runtime untuk mengidentifikasi dan memprioritaskan potensi risiko keamanan dan aktivitas berbahaya di lingkungan Anda.

Runtime Monitoring in GuardDuty melindungi beban kerja yang berjalan di Fargate dan instance EC2 container dengan terus memantau aktivitas AWS log dan jaringan untuk mengidentifikasi perilaku berbahaya atau tidak sah. Runtime Monitoring menggunakan agen GuardDuty keamanan ringan yang dikelola sepenuhnya yang menganalisis perilaku on-host, seperti akses file, eksekusi proses, dan koneksi jaringan. Ini mencakup masalah termasuk peningkatan hak istimewa, penggunaan kredensyal yang terbuka, atau komunikasi dengan alamat IP berbahaya, domain, dan keberadaan malware di instans Amazon EC2 dan beban kerja kontainer Anda. Untuk informasi selengkapnya, lihat GuardDutyRuntime Monitoring di Panduan GuardDuty Pengguna.

Administrator keamanan Anda mengaktifkan Runtime Monitoring untuk satu atau beberapa akun di AWS Organizations for GuardDuty. Mereka juga memilih apakah GuardDuty secara otomatis menyebarkan agen GuardDuty keamanan saat Anda menggunakan Fargate. Semua cluster Anda secara otomatis dilindungi, dan GuardDuty mengelola agen keamanan atas nama Anda.

Anda juga dapat mengonfigurasi agen GuardDuty keamanan secara manual dalam kasus berikut:

Anda menggunakan instance EC2 kontainer
Anda memerlukan kontrol granular untuk mengaktifkan Runtime Monitoring di tingkat cluster

Untuk menggunakan Runtime Monitoring, Anda harus mengonfigurasi cluster yang dilindungi, dan menginstal serta mengelola agen GuardDuty keamanan pada instance EC2 container Anda.

Bagaimana Runtime Monitoring bekerja dengan Amazon ECS

Runtime Monitoring menggunakan agen GuardDuty keamanan ringan yang memantau aktivitas ECS beban kerja Amazon untuk mengetahui cara aplikasi meminta, mendapatkan akses, dan mengkonsumsi sumber daya sistem yang mendasarinya.

Untuk tugas Fargate, agen GuardDuty keamanan berjalan sebagai wadah sespan untuk setiap tugas.

Untuk instance EC2 kontainer, agen GuardDuty keamanan berjalan sebagai proses pada instance.

Agen GuardDuty keamanan mengumpulkan data dari sumber daya berikut, dan kemudian mengirimkan data GuardDuty untuk diproses. Anda dapat melihat temuan di GuardDuty konsol. Anda juga dapat mengirimnya ke pihak lain AWS layanan seperti AWS Security Hub, atau vendor keamanan pihak ketiga untuk agregasi dan remediasi. Untuk informasi tentang cara melihat dan mengelola temuan, lihat Mengelola GuardDuty temuan Amazon di Panduan GuardDuty Pengguna Amazon.

Tanggapan dari ECS API panggilan Amazon berikut:
- DescribeClusters
  
  Parameter respons menyertakan tag Runtime Monitoring (saat tag disetel) saat Anda menggunakan --include TAGS opsi.
- DescribeTasks
  
  Untuk tipe peluncuran Fargate, parameter respons termasuk wadah GuardDuty sespan.
- ListAccountSettings
  
  Parameter respons mencakup pengaturan akun Runtime Monitoring, yang ditetapkan oleh administrator keamanan Anda.
Data introspeksi agen kontainer. Untuk informasi selengkapnya, lihat Introspeksi ECS wadah Amazon.
Titik akhir metadata tugas untuk jenis peluncuran:
- Titik akhir metadata ECS tugas Amazon versi 4
- Titik akhir metadata ECS tugas Amazon versi 4 untuk tugas di Fargate

Pertimbangan

Pertimbangkan hal berikut saat menggunakan Runtime Monitoring:

Runtime Monitoring memiliki biaya yang terkait dengannya. Untuk informasi selengkapnya, lihat GuardDuty Harga Amazon.
Runtime Monitoring tidak didukung di Amazon ECS Anywhere.
Runtime Monitoring tidak didukung untuk sistem operasi Windows.
Saat Anda menggunakan Amazon ECS Exec di Fargate, Anda harus menentukan nama penampung karena GuardDuty agen keamanan berjalan sebagai wadah sespan.
Anda tidak dapat menggunakan Amazon ECS Exec pada wadah sespan agen GuardDuty keamanan.
IAMPengguna yang mengontrol Runtime Monitoring di tingkat cluster, harus memiliki IAM izin yang sesuai untuk penandaan. Untuk informasi selengkapnya, lihat IAMtutorial: Menentukan izin untuk mengakses AWS sumber daya berdasarkan tag di Panduan IAM Pengguna.
Tugas Fargate harus menggunakan peran eksekusi tugas. Peran ini memberikan izin tugas untuk mengambil, memperbarui, dan mengelola agen GuardDuty keamanan, yang disimpan dalam repositori ECR pribadi Amazon, atas nama Anda.

Pemanfaatan Sumber Daya

Tag yang Anda tambahkan ke klaster dihitung terhadap kuota tag cluster.

Kontainer sespan GuardDuty agen tidak dihitung terhadap kontainer per kuota definisi tugas.

Seperti kebanyakan perangkat lunak keamanan, ada sedikit biaya overhead untuk GuardDuty. Untuk informasi tentang batas memori Fargate, lihat CPUdan batas memori di GuardDuty Panduan Pengguna. Untuk informasi tentang batas EC2 memori Amazon, lihat CPUdan batas memori untuk GuardDuty agen.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Introspeksi wadah

Runtime Monitoring untuk beban kerja Fargate