執行期監控如何與 Fargate 搭配使用 (僅限 Amazon ECS) - Amazon GuardDuty
在 Amazon ECS-Fargate 資源中管理 GuardDuty 安全代理程式的方法

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

執行期監控如何與 Fargate 搭配使用 (僅限 Amazon ECS)

當您啟用執行期監控時,GuardDuty 已準備好取用任務的執行期事件。這些任務會在 Amazon ECS 叢集中執行,而後者又會在 AWS Fargate 執行個體上執行。若要讓 GuardDuty 接收這些執行期事件,您必須使用完全受管的專用安全代理程式。

您可以允許 GuardDuty 代表您管理 GuardDuty 安全代理程式,方法是使用 AWS 帳戶或組織的自動代理程式組態。GuardDuty 將開始將安全代理程式部署到 Amazon ECS 叢集中啟動的新 Fargate 任務。下列清單指定啟用 GuardDuty 安全代理程式時預期會發生的情況。

啟用 GuardDuty 安全代理程式的影響
GuardDuty 會建立虛擬私有雲端 (VPC) 端點和安全群組

  • 部署 GuardDuty 安全代理程式時,GuardDuty 會建立 VPC 端點,讓安全代理程式透過此端點將執行期事件交付給 GuardDuty。

    除了 VPC 端點之外,GuardDuty 也會建立新的安全群組。傳入 (傳入) 規則控制允許存取與安全群組相關聯的資源的流量。GuardDuty 新增符合資源 VPC CIDR 範圍的傳入規則,並在 CIDR 範圍變更時加以調整。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 VPC CIDR 範圍

  • 使用具有自動代理程式的集中式 VPC – 當您針對資源類型使用 GuardDuty 自動代理程式組態時,GuardDuty 會代表您為所有 VPC 建立 VPCs 端點。這包括集中式 VPC 和語音 VPCs。GuardDuty 不支援僅針對集中式 VPC 建立 VPC 端點。如需集中式 VPC 運作方式的詳細資訊,請參閱AWS 白皮書 - 建置可擴展且安全的多 VPC AWS 網路基礎設施中的界面 VPC 端點

  • VPC 端點的使用無需額外費用。

GuardDuty 新增附屬容器

對於開始執行的新 Fargate 任務或服務,GuardDuty 容器 (附屬) 會自行連接到 Amazon ECS Fargate 任務中的每個容器。GuardDuty 安全代理程式會在連接的 GuardDuty 容器中執行。這有助於 GuardDuty 收集在這些任務中執行的每個容器的執行期事件。

當您啟動 Fargate 任務時,如果 GuardDuty 容器 (sidecar) 無法在運作狀態時啟動,則執行期監控旨在防止任務執行。

根據預設,Fargate 任務是不可變的。當任務已處於執行中狀態時,GuardDuty 不會部署附屬項目。如果您想要監控已執行任務中的容器,您可以停止任務並再次啟動。

在 Amazon ECS-Fargate 資源中管理 GuardDuty 安全代理程式的方法

執行期監控可讓您選擇偵測您帳戶中所有 Amazon ECS 叢集 (帳戶層級) 或選擇性叢集 (叢集層級) 的潛在安全威脅。當您為要執行的每個 Amazon ECS Fargate 任務啟用自動代理程式組態時,GuardDuty 會為該任務中的每個容器工作負載新增附屬容器。GuardDuty 安全代理程式會部署到此附屬容器。這是 GuardDuty 在 Amazon ECS 任務中了解容器執行時間行為的方式。

執行期監控僅支援透過 GuardDuty 管理 Amazon ECS 叢集 (AWS Fargate) 的安全代理程式。不支援在 Amazon ECS 叢集上手動管理安全代理程式。

設定帳戶之前,請評估您是否要監控屬於 Amazon ECS 任務之所有容器的執行時間行為,或包含或排除特定資源。請考慮以下方法。

監控所有 Amazon ECS 叢集

此方法將協助您偵測帳戶層級的潛在安全威脅。當您希望 GuardDuty 偵測屬於您帳戶之所有 Amazon ECS 叢集的潛在安全威脅時,請使用此方法。

排除特定 Amazon ECS 叢集

當您希望 GuardDuty 偵測 AWS 環境中大部分 Amazon ECS 叢集的潛在安全威脅,但排除部分叢集時,請使用此方法。此方法可協助您監控叢集層級 Amazon ECS 任務內容器的執行時間行為。例如,屬於您帳戶的 Amazon ECS 叢集數量為 1000。不過,您想要僅監控 930 個 Amazon ECS 叢集。

此方法需要您將預先定義的 GuardDuty 標籤新增至您不想監控的 Amazon ECS 叢集。如需詳細資訊,請參閱管理 Fargate 的自動化安全代理程式 (僅限 Amazon ECS)

包含特定的 Amazon ECS 叢集

當您想要 GuardDuty 偵測某些 Amazon ECS 叢集的潛在安全威脅時,請使用此方法。此方法可協助您監控叢集層級 Amazon ECS 任務內容器的執行時間行為。例如,屬於您帳戶的 Amazon ECS 叢集數量為 1000。不過,您只想要監控 230 個叢集。

此方法需要您將預先定義的 GuardDuty 標籤新增至您要監控的 Amazon ECS 叢集。如需詳細資訊,請參閱管理 Fargate 的自動化安全代理程式 (僅限 Amazon ECS)