Gunakan AWS KMS untuk mengenkripsi penyimpanan sementara untuk Fargate Kemampuan SYS_PTRACE untuk penelusuran syscall kernel dengan Fargate Gunakan Amazon GuardDuty dengan Fargate Runtime Monitoring

Praktik terbaik keamanan Fargate di Amazon ECS

Kami menyarankan Anda mempertimbangkan praktik terbaik berikut saat Anda menggunakannya AWS Fargate. Untuk panduan tambahan, lihat Ikhtisar keamanan AWS Fargate.

Gunakan AWS KMS untuk mengenkripsi penyimpanan sementara untuk Fargate

Anda harus memiliki penyimpanan sementara Anda dienkripsi oleh. AWS KMS Untuk tugas yang di-host di Fargate menggunakan versi platform 1.4.0 atau yang lebih baru, setiap tugas menerima 20 GiB penyimpanan sementara. Anda dapat meningkatkan jumlah total penyimpanan sementara, hingga maksimum 200 GiB, dengan menentukan ephemeralStorage parameter dalam definisi tugas Anda. Untuk tugas-tugas seperti itu yang diluncurkan pada 28 Mei 2020 atau lebih baru, penyimpanan sementara dienkripsi dengan algoritma enkripsi AES-256 menggunakan kunci enkripsi yang dikelola oleh Fargate.

Untuk informasi selengkapnya, lihat Menggunakan volume data dalam tugas.

Contoh: Meluncurkan tugas di platform Fargate versi 1.4.0 dengan enkripsi penyimpanan singkat

Perintah berikut akan meluncurkan tugas pada platform Fargate versi 1.4. Karena tugas ini diluncurkan sebagai bagian dari cluster, ia menggunakan 20 GiB penyimpanan sementara yang secara otomatis dienkripsi.


aws ecs run-task --cluster clustername \
  --task-definition taskdefinition:version \
  --count 1
  --launch-type "FARGATE" \
  --platform-version 1.4.0 \
  --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ 
  --region region

Kemampuan SYS_PTRACE untuk penelusuran syscall kernel dengan Fargate

Konfigurasi default kemampuan Linux yang ditambahkan atau dihapus dari container Anda disediakan oleh Docker. Untuk informasi selengkapnya tentang kemampuan yang tersedia, lihat hak istimewa Runtime dan kemampuan Linux dalam dokumentasi Docker run.

Tugas yang diluncurkan di Fargate hanya mendukung penambahan kemampuan SYS_PTRACE kernel.

Video tutorial di bawah ini yang menunjukkan cara menggunakan fitur ini melalui proyek Sysdig Falco.

Kode yang dibahas dalam video sebelumnya dapat ditemukan di GitHub sini.

Gunakan Amazon GuardDuty dengan Fargate Runtime Monitoring

Amazon GuardDuty adalah layanan deteksi ancaman yang membantu melindungi akun, wadah, beban kerja, dan data di AWS lingkungan Anda. Menggunakan model machine learning (ML), serta kemampuan deteksi anomali dan ancaman, GuardDuty terus memantau berbagai sumber log dan aktivitas runtime untuk mengidentifikasi dan memprioritaskan potensi risiko keamanan dan aktivitas berbahaya di lingkungan Anda.

Runtime Monitoring in GuardDuty melindungi beban kerja yang berjalan di Fargate dengan terus memantau aktivitas AWS log dan jaringan untuk mengidentifikasi perilaku berbahaya atau tidak sah. Runtime Monitoring menggunakan agen GuardDuty keamanan ringan yang dikelola sepenuhnya yang menganalisis perilaku on-host, seperti akses file, eksekusi proses, dan koneksi jaringan. Ini mencakup masalah termasuk peningkatan hak istimewa, penggunaan kredensyal yang terbuka, atau komunikasi dengan alamat IP berbahaya, domain, dan keberadaan malware di instans Amazon EC2 dan beban kerja kontainer Anda. Untuk informasi selengkapnya, lihat GuardDuty Runtime Monitoring di Panduan GuardDuty Pengguna.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Konsinderasi keamanan kapan harus menggunakan tipe peluncuran Fargate

Pertimbangan keamanan Fargate