AWS Fargate 보안

를 사용할 때 다음 모범 사례를 고려하는 것이 좋습니다.AWS Fargate.

사용AWS KMS사용 후 삭제 스토리지를 암호화합니다.

임시 저장소는 다음과 같이 암호화해야합니다.AWS KMS. 에서 호스팅되는 Amazon ECS 작업의 경우AWS Fargate플랫폼 버전 사용1.4.0이상 버전에서 각 작업은 20GB의 휘발성 스토리지를 수신합니다. 스토리지 용량은 조정할 수 없습니다. 2020202020205월 28일 이후 시작된 태스크의 경우, 관리형 암호화 키와 AES-256 암호화 알고리즘으로 휘발성 스토리지가 암호화됩니다.AWS Fargate.

예: Amazon ECS 작업 시작AWS Fargate플랫폼 버전 1.4.0과 휘발성 스토리지 암호화

다음 명령은 Amazon ECS 작업을 시작합니다.AWS Fargate플랫폼 버전 1.4로 업데이트 이 작업은 Amazon ECS 클러스터의 일부로 시작되므로 자동으로 암호화된 20GB의 휘발성 스토리지를 사용합니다.

aws ecs run-task --cluster clustername \
  --task-definition taskdefinition:version \
  --count 1
  --launch-type "FARGATE" \
  --platform-version 1.4.0 \
  --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ 
  --region region

커널 시스템 호출 추적을 위한 SYS_PSTRACE 기능

컨테이너에서 추가하거나 제거 된 Linux 기능의 기본 구성은 Docker에서 제공합니다. 사용 가능한 기능에 대한 자세한 내용은런타임 권한 및 Linux 기능의도커를 실행하려면설명서를 참조하십시오.

에서 실행되는 작업AWS Fargate는 추가 기능만 지원합니다.SYS_PTRACE커널 기능을 실행합니다.

Sysdig를 통해 이 기능을 사용하는 방법을 보여주는 아래의 자습서 비디오를 참조하십시오.팔코프로젝트를 참조하십시오.

이전 비디오에서 논의 된 코드는 GitHub 에서 찾을 수 있습니다.여기를.