Bagaimana Runtime Monitoring bekerja dengan Amazon ECS Pertimbangan Pemanfaatan Sumber Daya

Identifikasi perilaku yang tidak sah menggunakan Runtime Monitoring

Amazon GuardDuty adalah layanan deteksi ancaman yang membantu melindungi akun, wadah, beban kerja, dan data di AWS lingkungan Anda. Menggunakan model machine learning (ML), serta kemampuan deteksi anomali dan ancaman, GuardDuty terus memantau berbagai sumber log dan aktivitas runtime untuk mengidentifikasi dan memprioritaskan potensi risiko keamanan dan aktivitas berbahaya di lingkungan Anda.

Runtime Monitoring in GuardDuty melindungi beban kerja yang berjalan pada instance container Fargate dan EC2 dengan terus memantau aktivitas AWS log dan jaringan untuk mengidentifikasi perilaku berbahaya atau tidak sah. Runtime Monitoring menggunakan agen GuardDuty keamanan ringan yang dikelola sepenuhnya yang menganalisis perilaku on-host, seperti akses file, eksekusi proses, dan koneksi jaringan. Ini mencakup masalah termasuk peningkatan hak istimewa, penggunaan kredensyal yang terbuka, atau komunikasi dengan alamat IP berbahaya, domain, dan keberadaan malware di instans Amazon EC2 dan beban kerja kontainer Anda. Untuk informasi selengkapnya, lihat GuardDutyRuntime Monitoring di Panduan GuardDuty Pengguna.

Administrator keamanan Anda mengaktifkan Runtime Monitoring untuk satu atau beberapa akun di AWS Organizations for GuardDuty. Mereka juga memilih apakah GuardDuty secara otomatis menyebarkan agen GuardDuty keamanan saat Anda menggunakan Fargate. Semua cluster Anda secara otomatis dilindungi, dan GuardDuty mengelola agen keamanan atas nama Anda.

Anda juga dapat mengonfigurasi agen GuardDuty keamanan secara manual dalam kasus berikut:

Anda menggunakan instans kontainer EC2
Anda memerlukan kontrol granular untuk mengaktifkan Runtime Monitoring di tingkat cluster

Untuk menggunakan Runtime Monitoring, Anda harus mengonfigurasi cluster yang dilindungi, dan menginstal serta mengelola agen GuardDuty keamanan pada instans kontainer EC2 Anda.

Bagaimana Runtime Monitoring bekerja dengan Amazon ECS

Runtime Monitoring menggunakan agen GuardDuty keamanan ringan yang memantau aktivitas beban kerja Amazon ECS untuk bagaimana aplikasi meminta, mendapatkan akses, dan mengkonsumsi sumber daya sistem yang mendasarinya.

Untuk tugas Fargate, agen GuardDuty keamanan berjalan sebagai wadah sespan untuk setiap tugas.

Untuk instans kontainer EC2, agen GuardDuty keamanan berjalan sebagai proses pada instance.

Agen GuardDuty keamanan mengumpulkan data dari sumber daya berikut, dan kemudian mengirimkan data GuardDuty untuk diproses. Anda dapat melihat temuan di GuardDuty konsol. Anda juga dapat mengirimnya ke pihak lain Layanan AWS seperti AWS Security Hub, atau vendor keamanan pihak ketiga untuk agregasi dan remediasi. Untuk informasi tentang cara melihat dan mengelola temuan, lihat Mengelola GuardDuty temuan Amazon di Panduan GuardDuty Pengguna Amazon.

Tanggapan dari panggilan Amazon ECS API berikut:
- DescribeClusters
  
  Parameter respons menyertakan tag Runtime Monitoring (saat tag disetel) saat Anda menggunakan --include TAGS opsi.
- DescribeTasks
  
  Untuk tipe peluncuran Fargate, parameter respons termasuk wadah GuardDuty sespan.
- ListAccountSettings
  
  Parameter respons mencakup pengaturan akun Runtime Monitoring, yang ditetapkan oleh administrator keamanan Anda.
Data introspeksi agen kontainer. Untuk informasi selengkapnya, lihat Introspeksi wadah Amazon ECS.
Titik akhir metadata tugas untuk jenis peluncuran:
- Titik akhir metadata tugas Amazon ECS versi 4
- Titik akhir metadata tugas Amazon ECS versi 4 untuk tugas di Fargate

Pertimbangan

Pertimbangkan hal berikut saat menggunakan Runtime Monitoring:

Runtime Monitoring memiliki biaya yang terkait dengannya. Untuk informasi selengkapnya, lihat GuardDuty Harga Amazon.
Runtime Monitoring tidak didukung di Amazon ECS Anywhere.
Runtime Monitoring tidak didukung untuk sistem operasi Windows.
Saat Anda menggunakan Amazon ECS Exec di Fargate, Anda harus menentukan nama penampung karena agen GuardDuty keamanan berjalan sebagai wadah sespan.
Anda tidak dapat menggunakan Amazon ECS Exec pada wadah GuardDuty sespan agen keamanan.
Pengguna IAM yang mengontrol Runtime Monitoring di tingkat cluster, harus memiliki izin IAM yang sesuai untuk penandaan. Untuk informasi selengkapnya, lihat tutorial IAM: Menentukan izin untuk mengakses AWS sumber daya berdasarkan tag di Panduan Pengguna IAM.
Tugas Fargate harus menggunakan peran eksekusi tugas. Peran ini memberikan izin tugas untuk mengambil, memperbarui, dan mengelola agen GuardDuty keamanan, yang disimpan dalam repositori pribadi Amazon ECR, atas nama Anda.

Pemanfaatan Sumber Daya

Tag yang Anda tambahkan ke klaster dihitung terhadap kuota tag cluster.

Kontainer sespan GuardDuty agen tidak dihitung terhadap kontainer per kuota definisi tugas.

Seperti kebanyakan perangkat lunak keamanan, ada sedikit biaya overhead untuk GuardDuty. Untuk informasi tentang batas memori Fargate, lihat batas CPU dan memori di GuardDuty Panduan Pengguna. Untuk informasi tentang batas memori Amazon EC2, lihat CPU dan batas memori untuk GuardDuty agen.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Introspeksi wadah

Runtime Monitoring untuk beban kerja Fargate