Segurança do AWS Fargate - Amazon ECS
Use AWS KMS para criptografar o armazenamento efêmeroCapacidade SYS_PTRACE para rastreamento de syscall do kernel

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança do AWS Fargate

Recomendamos que você leve em consideração as seguintes práticas recomendadas ao usarAWS Fargate. Para obter orientação adicional, consulte Visão geral da segurança do AWS Fargate.

Use AWS KMS para criptografar o armazenamento efêmero

Você deve ter seu armazenamento efêmero criptografado por. AWS KMS Para tarefas do Amazon ECS hospedadas AWS Fargate usando a versão da plataforma 1.4.0 ou posterior, cada tarefa recebe 20 GiB de armazenamento temporário. Você pode aumentar a quantidade total de armazenamento temporário, até um máximo de 200 GiB, especificando o parâmetro na definição da ephemeralStorage tarefa. Para essas tarefas que foram lançadas em 28 de maio de 2020 ou posteriormente, o armazenamento temporário é criptografado com um algoritmo de criptografia AES-256 usando uma chave de criptografia gerenciada por. AWS Fargate

Para obter mais informações, consulte Usando volumes de dados em tarefas.

Exemplo: lançamento de uma tarefa do Amazon ECS na AWS Fargate plataforma versão 1.4.0 com criptografia de armazenamento efêmera

O comando a seguir iniciará uma tarefa do Amazon ECS na AWS Fargate plataforma versão 1.4. Como essa tarefa é iniciada como parte do cluster do Amazon ECS, ela usa 20 GiB de armazenamento efêmero que é criptografado automaticamente.

aws ecs run-task --cluster clustername \
  --task-definition taskdefinition:version \
  --count 1
  --launch-type "FARGATE" \
  --platform-version 1.4.0 \
  --network-configuration "awsvpcConfiguration={subnets=[subnetid],securityGroups=[securitygroupid]}" \ 
  --region region

Capacidade SYS_PTRACE para rastreamento de syscall do kernel

A configuração padrão dos recursos do Linux que são adicionados ou removidos do seu contêiner é fornecida pelo Docker. Para obter mais informações sobre os recursos disponíveis, consulte Privilégio de tempo de execução e recursos do Linux na documentação de execução do Docker.

As tarefas que são iniciadas AWS Fargate somente suportam a adição do recurso do SYS_PTRACE kernel.

Consulte o vídeo tutorial abaixo que mostra como usar esse recurso por meio do projeto Sysdig Falco.

O código discutido no vídeo anterior pode ser encontrado GitHub aqui.