As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Esta seção inclui os pré-requisitos para monitorar o comportamento em tempo de execução de seus recursos do Fargate-Amazon. ECS Depois que esses pré-requisitos forem atendidos, consulte Habilitando o GuardDuty monitoramento de tempo.
Validação dos requisitos de arquitetura
A plataforma que você usa pode afetar a forma como o agente GuardDuty de segurança oferece suporte GuardDuty ao recebimento de eventos de tempo de execução de seus ECS clusters da Amazon. Você precisa validar que está usando uma das plataformas verificadas.
- Considerações iniciais:
-
A AWS Fargate plataforma para seus ECS clusters da Amazon deve ser Linux. A versão da plataforma correspondente deve ser pelo menos
1.4.0
ouLATEST
. Para obter mais informações sobre as versões de plataforma, consulte Versões da plataforma Linux no Guia do desenvolvedor do Amazon Elastic Container Service.As versões da plataforma Windows ainda não são suportadas.
Plataformas verificadas
A distribuição e a CPU arquitetura do sistema operacional afetam o suporte fornecido pelo agente GuardDuty de segurança. A tabela a seguir mostra a configuração verificada para implantar o agente de GuardDuty segurança e configurar o Runtime Monitoring.
Distribuição do sistema operacional1 | Suporte do kernel | Arquitetura do CPU | |
---|---|---|---|
x64 () AMD64 | Gráviton (1) ARM64 | ||
Linux | eBPF, Tracepoints, Kprobe | Compatível | Compatível |
1 Suporte para vários sistemas operacionais - GuardDuty verificou o suporte para o uso do Runtime Monitoring nos sistemas operacionais listados na tabela anterior. Se você usar um sistema operacional diferente e conseguir instalar o agente de segurança com êxito, poderá obter todo o valor de segurança esperado que GuardDuty foi verificado para fornecer com a distribuição do sistema operacional listada.
Forneça ECR permissões e detalhes da sub-rede
Antes de habilitar o Monitoramento de runtime, você deve fornecer os seguintes detalhes:
- Disponibilizar uma função de execução de tarefa com permissões
-
A função de execução da tarefa exige que você tenha determinadas permissões do Amazon Elastic Container Registry (AmazonECR). Você pode usar a política mazonECSTaskExecutionRolePolicygerenciada A ou adicionar as seguintes permissões à sua
TaskExecutionRole
política:... "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", ...
Para restringir ainda mais ECR as permissões da Amazon, você pode adicionar o ECR repositório da Amazon URI que hospeda o agente GuardDuty de segurança para AWS Fargate (ECSsomente Amazon). Para obter mais informações, consulte Repositório para GuardDuty agente em AWS Fargate (ECSsomente Amazon).
- Disponibilizar detalhes da sub-rede na definição da tarefa
-
Você pode fornecer as sub-redes públicas como uma entrada na definição de sua tarefa ou criar um endpoint da Amazon ECRVPC.
-
Usando a opção de definição de tarefas — Executar o CreateServicee UpdateServiceAPIsno Amazon Elastic Container Service API Reference exige que você passe as informações da sub-rede. Para obter mais informações, consulte as definições de ECS tarefas da Amazon no Amazon Elastic Container Service Developer Guide.
-
Usando a opção de ECR VPC endpoint da Amazon — Forneça um caminho de rede para a Amazon ECR — Garanta que o ECR repositório da Amazon URI que hospeda o agente de GuardDuty segurança esteja acessível pela rede. Se suas tarefas do Fargate forem executadas em uma sub-rede privada, o Fargate precisará do caminho da rede para baixar o contêiner. GuardDuty
Para obter informações sobre como permitir que o Fargate baixe o GuardDuty contêiner, consulte Usando ECRimagens da Amazon com a Amazon ECS no Guia do usuário do Amazon Elastic Container Registry.
-
Validando sua política de controle de serviço da organização
Essa etapa é necessária para dar suporte GuardDuty ao Runtime Monitoring e avaliar a cobertura em diferentes tipos de recursos.
Se você configurou uma política de controle de serviço (SCP) para gerenciar permissões em sua organização, valide se o limite de permissões não é restritivo guardduty:SendSecurityTelemetry
na sua política TaskExecutionRole
e na política dela.
A política a seguir é um exemplo para permitir a guardduty:SendSecurityTelemetry
política:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
...,
...,
"guardduty:SendSecurityTelemetry"
],
"Resource": "*"
}
]
}
-
Use as etapas a seguir para validar se o limite de permissões não restringe
guardduty:SendSecurityTelemetry
:Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/
. -
No painel de navegação, em Gerenciamento de acesso, escolha Funções.
-
Escolha o Nome da função para a página de detalhes.
-
Expanda a seção Limite de permissões. Certifique-se de que
guardduty:SendSecurityTelemetry
não seja negado ou restrito.
-
Use as seguintes etapas para validar se o Limite de permissões para sua política
TaskExecutionRole
não restringeguardduty:SendSecurityTelemetry
:Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/
. -
No painel de navegação, em Gerenciamento de acesso, escolha Políticas.
-
Escolha o Nome da política para a página de detalhes.
-
Na guia Entidades anexadas, veja a seção Anexado como limite de permissões. Certifique-se de que
guardduty:SendSecurityTelemetry
não seja negado ou restrito.
Para obter informações sobre políticas e permissões, consulte Limites de permissões no Guia IAM do usuário.
Se você for uma conta de membro, conecte-se com o administrador delegado associado. Para obter informações sobre o gerenciamento SCPs de sua organização, consulte Políticas de controle de serviços (SCPs).
CPUe limites de memória
Na definição da tarefa do Fargate, você deve especificar o valor CPU e a memória no nível da tarefa. A tabela a seguir mostra as combinações válidas de valores de nível de tarefa CPU e memória e o limite máximo de memória do agente GuardDuty de segurança correspondente para o GuardDuty contêiner.
Valor do CPU | Valor de memória | GuardDuty limite máximo de memória do agente |
---|---|---|
256 (2,5 g) CPU |
512 MiB, 1 GB, 2GB |
128 MB |
512 (0,5 kV) CPU |
1 GB, 2 GB, 3 GB, 4 GB |
|
1024 (1 v) CPU |
2 GB, 3 GB, 4 GB |
|
5 GB, 6 GB, 7 GB, 8 GB |
||
2048 (2 v) CPU |
Entre 4 GB e 16 GB em incrementos de 1 GB |
|
4096 (4 g) CPU |
Entre 8 GB e 20 GB em incrementos de 1 GB |
|
1892 (8 v) CPU |
Entre 16 GB e 28 GB em incrementos de 4 GB |
256 MB |
Entre 32 GB e 60 GB em incrementos de 4 GB |
512 MB |
|
16384 (16 v) CPU |
Entre 32 GB e 120 GB em incrementos de 8 GB |
1 GB |
Depois de habilitar o Monitoramento de runtime e avaliar se o status da cobertura do seu cluster é Íntegro, você pode configurar e visualizar as métricas do Container insight. Para obter mais informações, Configurando o monitoramento no ECS cluster da Amazon.
A próxima etapa é configurar o Monitoramento de runtime e também configurar o agente de segurança.