Segurança de runtime
A segurança de runtime fornece proteção ativa para seus contêineres enquanto eles estão em execução. A ideia é detectar e evitar que atividades maliciosas ocorram em seus contêineres. A configuração de segurança de runtime difere entre contêineres de Windows e Linux.
Para proteger um contêiner do Microsoft Windows, consulte Contêineres seguros do Windows
Para proteger um contêiner de Linux, é possível adicionar ou eliminar recursos do kernel do Linux usando linuxParameters e aplicar labels SELinux, ou um perfil AppArmor usando as dockerSecurityOptions, ambos por contêiner em uma definição de tarefa. O SELinux ou o AppArmor precisam ser configurados na instância de contêiner antes de serem usados. O SELinux e o AppArmor não estão disponíveis no AWS Fargate. Para obter mais informações, consulte dockerSecurityOptions na Referência da API do Amazon Elastic Container Service, e Configuração de segurança
O AppArmor é um módulo de segurança do Linux que restringe os recursos de um contêiner, incluindo o acesso a partes do sistema de arquivos. Ele pode ser executado em qualquer um dos modos enforcement ou complain. Como a criação de perfis do AppArmor pode ser desafiadora, recomendamos que você use uma ferramenta como o bane
Importante
O AppArmor está disponível somente para as distribuições de Linux Ubuntu e Debian.
Recomendações
Recomendamos que você execute as ações a seguir ao configurar a segurança do runtime.
Usar uma solução terceirizada para defesa de runtime
Use uma solução terceirizada para defesa de runtime. Se você estiver familiarizado com o funcionamento da segurança do Linux, crie e gerencie perfis do AppArmor. Ambos são projetos de código aberto. Caso contrário, considere usar um serviço terceirizado diferente. A maioria usa machine learning para bloquear ou alertar sobre atividades suspeitas. Para obter uma lista das soluções terceirizadas disponíveis, consulte AWS Marketplace para contêineres
