Come funziona il monitoraggio del runtime con Amazon ECS Considerazioni Utilizzo delle risorse

Identifica i comportamenti non autorizzati utilizzando Runtime Monitoring

Amazon GuardDuty è un servizio di rilevamento delle minacce che aiuta a proteggere account, contenitori, carichi di lavoro e dati all'interno del tuo AWS ambiente. Utilizzando modelli di machine learning (ML) e funzionalità di rilevamento di anomalie e minacce, monitora GuardDuty continuamente diverse fonti di log e attività di runtime per identificare e dare priorità ai potenziali rischi per la sicurezza e alle attività dannose nel tuo ambiente.

Runtime Monitoring in GuardDuty protegge i carichi di lavoro in esecuzione su istanze di container Fargate ed EC2 AWS monitorando continuamente i log e l'attività di rete per identificare comportamenti dannosi o non autorizzati. Runtime Monitoring utilizza un agente di GuardDuty sicurezza leggero e completamente gestito che analizza il comportamento sull'host, come l'accesso ai file, l'esecuzione dei processi e le connessioni di rete. Ciò riguarda questioni quali l'aumento dei privilegi, l'uso di credenziali esposte o la comunicazione con indirizzi IP e domini dannosi e la presenza di malware sulle istanze Amazon EC2 e sui carichi di lavoro dei container. Per ulteriori informazioni, consulta Runtime Monitoring nella Guida per l'utente. GuardDuty GuardDuty

L'amministratore della sicurezza abilita il Runtime Monitoring per uno o più account in AWS Organizations for GuardDuty. Inoltre, selezionano se distribuire GuardDuty automaticamente il GuardDuty Security Agent quando si utilizza Fargate. Tutti i tuoi cluster sono protetti automaticamente e GuardDuty gestiscono il security agent per tuo conto.

Puoi anche configurare manualmente il GuardDuty security agent nei seguenti casi:

Utilizzi istanze di container EC2
È necessario un controllo granulare per abilitare il monitoraggio del runtime a livello di cluster

Per utilizzare Runtime Monitoring, è necessario configurare i cluster protetti e installare e gestire il GuardDuty security agent sulle istanze del contenitore EC2.

Come funziona il monitoraggio del runtime con Amazon ECS

Runtime Monitoring utilizza un agente GuardDuty di sicurezza leggero che monitora l'attività del carico di lavoro di Amazon ECS in base al modo in cui le applicazioni richiedono, ottengono l'accesso e consumano le risorse di sistema sottostanti.

Per le attività di Fargate, il GuardDuty security agent funge da contenitore secondario per ogni attività.

Per le istanze di container EC2, il GuardDuty security agent viene eseguito come processo sull'istanza.

Il GuardDuty security agent raccoglie i dati dalle seguenti risorse e quindi li invia all' GuardDuty elaborazione. È possibile visualizzare i risultati nella GuardDuty console. Puoi anche inviarli ad altri, ad Servizi AWS esempio AWS Security Hub, o a un fornitore di sicurezza di terze parti per l'aggregazione e la correzione. Per informazioni su come visualizzare e gestire i risultati, consulta Managing Amazon GuardDuty findings nella Amazon GuardDuty User Guide.

Risposte dalle seguenti chiamate API Amazon ECS:
- DescribeClusters
  
  I parametri di risposta includono il tag Runtime Monitoring (quando il tag è impostato) quando si utilizza l'--include TAGSopzione.
- DescribeTasks
  
  Per il tipo di lancio Fargate, i parametri di risposta includono il contenitore GuardDuty sidecar.
- ListAccountSettings
  
  I parametri di risposta includono l'impostazione dell'account Runtime Monitoring, impostata dall'amministratore della sicurezza.
I dati di introspezione dell'agente contenitore. Per ulteriori informazioni, consulta Introspezione dei container Amazon ECS.
L'endpoint dei metadati dell'attività per il tipo di avvio:
- Endpoint di metadati delle attività Amazon ECS versione 4
- Endpoint di metadati delle attività Amazon ECS versione 4 per attività su Fargate

Considerazioni

Considerate quanto segue quando utilizzate Runtime Monitoring:

Il Runtime Monitoring ha un costo associato. Per ulteriori informazioni, consulta la pagina GuardDuty dei prezzi di Amazon.
Il monitoraggio del runtime non è supportato su Amazon ECS Anywhere.
Il monitoraggio del runtime non è supportato per il sistema operativo Windows.
Quando usi Amazon ECS Exec su Fargate, devi specificare il nome del contenitore perché il GuardDuty security agent funziona come contenitore secondario.
Non puoi usare Amazon ECS Exec nel contenitore sidecar del GuardDuty Security Agent.
L'utente IAM che controlla il Runtime Monitoring a livello di cluster deve disporre delle autorizzazioni IAM appropriate per l'etichettatura. Per ulteriori informazioni, consulta il tutorial IAM: Definisci le autorizzazioni per accedere alle AWS risorse in base ai tag nella IAM User Guide.
Le attività Fargate devono utilizzare un ruolo di esecuzione delle attività. Questo ruolo concede alle attività l'autorizzazione a recuperare, aggiornare e gestire l'agente di GuardDuty sicurezza, che è archiviato in un repository privato Amazon ECR, per tuo conto.

Utilizzo delle risorse

Il tag che aggiungi al cluster viene conteggiato ai fini della quota di tag del cluster.

Il contenitore GuardDuty Agent Sidecar non viene conteggiato ai fini della quota di definizione dei contenitori per attività.

Come con la maggior parte dei software di sicurezza, c'è un leggero sovraccarico per. GuardDuty Per informazioni sui limiti di memoria di Fargate, consultate Limiti di CPU e memoria nella Guida per l'GuardDuty utente. Per informazioni sui limiti di memoria di Amazon EC2, consulta Limite di CPU e memoria per l' GuardDuty agente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Introspezione dei contenitori

Monitoraggio del runtime per carichi di lavoro Fargate