Como o monitoramento de runtime funciona com o Amazon ECS Considerações Utilização de recursos

Identificação de comportamentos não autorizados usando o monitoramento de runtime

O Amazon GuardDuty é um serviço de detecção de ameaças que ajuda a proteger contas, contêineres, workloads e dados no ambiente da AWS. Usando modelos de machine learning (ML) e recursos de detecção de anomalias e ameaças, o GuardDuty monitora continuamente diferentes fontes de log e atividades de runtime para identificar e priorizar possíveis riscos de segurança e atividades maliciosas no seu ambiente.

O monitoramento de runtime no GuardDuty protege workloads em execução nas instâncias de contêiner do Fargate e do EC2, monitorando continuamente as atividades de log e rede da AWS para identificar comportamentos maliciosos ou não autorizados. O monitoramento de runtime usa um agente de segurança do GuardDuty leve e totalmente gerenciado que analisa o comportamento no host, como acesso a arquivos, execução de processos e conexões de rede. Isso inclui problemas como escalação de privilégios, uso de credenciais expostas, comunicação com endereços IP ou domínios maliciosos e a presença de malware nas instâncias e workloads de contêiner do Amazon EC2. Para obter mais informações, consulte GuardDuty Runtime Monitoring no Guia do usuário do GuardDuty.

Seu administrador de segurança habilita o monitoramento de runtime para uma ou várias contas no AWS Organizations para o GuardDuty. Ele também seleciona se o GuardDuty implanta automaticamente o agente de segurança do GuardDuty ao usar o Fargate. Todos os clusters são protegidos automaticamente, e o GuardDuty gerencia o agente de segurança em seu nome.

Você também pode configurar manualmente o agente de segurança do GuardDuty nos seguintes casos:

Você usa instâncias de contêiner do EC2
Você precisa de controle granular para habilitar o monitoramento de runtime no nível do cluster

Para usar o monitoramento de runtime, você deve configurar os clusters protegidos, bem como instalar e gerenciar o agente de segurança do GuardDuty nas instâncias de contêiner do EC2.

Como o monitoramento de runtime funciona com o Amazon ECS

O monitoramento de runtime usa um agente de segurança leve do GuardDuty que monitora a atividade de workload do Amazon ECS para saber como as aplicações estão solicitando, obtendo acesso e consumindo os recursos subjacentes do sistema.

Para tarefas do Fargate, o agente de segurança do GuardDuty é executado como um contêiner auxiliar em cada tarefa.

Para instâncias de contêiner do EC2, o agente de segurança do GuardDuty é executado como um processo na instância.

O agente de segurança do GuardDuty coleta dados dos recursos a seguir e envia os dados ao GuardDuty para processamento. Você pode visualizar as descobertas no console do GuardDuty. Você também pode enviá-los a outros Serviços da AWS, como o AWS Security Hub, ou a um fornecedor de segurança terceiro para agregação e remediação. Para obter informações sobre como visualizar e gerenciar descobertas, consulte Managing Amazon GuardDuty findings no Guia do usuário do Amazon GuardDuty.

Respostas das seguintes chamadas de API do Amazon ECS:
- DescribeClusters
  
  Os parâmetros de resposta incluem a tag do monitoramento de runtime (quando a tag é definida) ao usar a opção --include TAGS.
- DescribeTasks
  
  Para o tipo de execução do Fargate, os parâmetros de resposta incluem o contêiner auxiliar do GuardDuty.
- ListAccountSettings
  
  Os parâmetros de resposta incluem a configuração da conta do monitoramento de runtime, definida pelo administrador de segurança.
Os dados de introspecção do agente de contêiner. Para ter mais informações, consulte Introspecção de contêiner do Amazon ECS.
O endpoint de metadados da tarefa para o tipo de execução:
- Endpoint de metadados de tarefas do Amazon ECS versão 4
- Endpoint de metadados de tarefas do Amazon ECS versão 4 para tarefas no Fargate

Considerações

Considere o seguinte ao usar o monitoramento de runtime:

O monitoramento de runtime tem um custo associado a ele. Para obter mais informações, consulte Amazon GuardDuty Pricing.
O monitoramento de runtime não é compatível com o Amazon ECS Anywhere.
O monitoramento de runtime não é compatível com o sistema operacional Windows.
Ao usar o Amazon ECS Exec no Fargate, você deve especificar o nome do contêiner, porque o agente de segurança do GuardDuty é executado como um contêiner auxiliar.
Você não pode usar o Amazon ECS Exec no contêiner auxiliar do agente de segurança do GuardDuty.
O usuário do IAM que controla o monitoramento de runtime no nível do cluster deve ter as permissões apropriadas do IAM para marcação. Para obter mais informações, consulte Tutorial do IAM: Definir permissões para acessar recursos da AWS com base em tags no Guia do usuário do IAM.
As tarefas do Fargate devem usar um perfil de execução de tarefas. Esse perfil concede às tarefas permissão para recuperar, atualizar e gerenciar o agente de segurança do GuardDuty, que é armazenado em um repositório privado do Amazon ECR, em seu nome.

Utilização de recursos

A tag adicionada ao cluster é contabilizada na cota de tags do cluster.

O contêiner auxiliar do agente do GuardDuty não é contabilizado na cota de definição de contêineres por tarefa.

Como acontece com a maioria dos softwares de segurança, há uma pequena sobrecarga no GuardDuty. Para obter informações sobre os limites de memória do Fargate, consulte CPU and memory limits no Guia do usuário do GuardDuty. Para obter informações sobre os limites de memória do Amazon EC2, consulte CPU and memory limit for GuardDuty agent.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Introspecção de contêiner

Monitoramento de runtime para workloads do Fargate