在 Fargate 和 Amazon EC2 中使用 Amazon GuardDuty 的 ECS 运行时监控

作者：Luke Notley 和 Arran Peterson发布日期：2023年12月28日标签：Amazon GuardDuty、AWS Fargate、安全博客文章链接

飞鱼加速下载

重点内容

Amazon GuardDuty 提供容器安全监控，能够检测运行时威胁，保护 AWS Fargate 和 Amazon EC2 ECS 集群。理解 AWS 共享责任模型对于确保容器工作负载的安全至关重要。新增功能将 EKS 运行时监控整合到 GuardDuty 运行时监控中，简化配置管理。本文将指导您如何配置和使用 GuardDuty 运行时监控。

容器化技术如 Docker和编排解决方案如 Amazon Elastic Container Service (Amazon ECS)因其可移植性和可扩展性受到用户青睐。容器运行时监控对客户监测容器的健康、性能和安全都至关重要。AWS 的服务如 Amazon GuardDuty、Amazon Inspector 和 AWS Security Hub 在提升容器安全方面发挥了重要作用，提供威胁检测、漏洞评估和集中安全管理。

GuardDuty 是一种威胁检测服务，持续监控您的 AWS 账户和工作负载，查找恶意活动，并提供详细的安全发现报告以便于可见性和应变。GuardDuty 每分钟分析数十亿个事件，涵盖多个 AWS 数据源，并为 Amazon Elastic Kubernetes Service (Amazon EKS)、Amazon ECS 和 Amazon Elastic Compute Cloud (Amazon EC2) 工作负载提供运行时监控。发现结果可以在 GuardDuty 控制台中查看，通过 API 每个发现结果都会发送到 Amazon EventBridge，以便将其纳入您的操作工作流程。GuardDuty 的发现也会发送到 Security Hub，帮助您聚合和关联跨账户与 AWS 区域的发现信息。

我们最近宣布了 Amazon ECS 的 GuardDuty 运行时监控的正式发布 和 Amazon EC2 的 GuardDuty 运行时监控的公共预览，以便从超过 30 种安全发现中检测运行时威胁，保护您的 AWS Fargate 或 Amazon EC2 ECS 集群。

在本文中，我们将概述 AWS 共享责任模型 以及其与确保在 AWS 上运行的容器工作负载的安全性的关系。我们也将介绍如何配置和使用新的 GuardDuty 运行时监控功能。如果您已经在使用 GuardDuty EKS 运行时监控，本文将提供迁移到 GuardDuty 运行时监控的步骤。

AWS 共享责任模型与容器

理解 AWS 共享责任模型 对于确保 Amazon ECS 工作负载 的安全至关重要。对于 Amazon ECS，AWS 负责 ECS 控制平面和底层基础设施的数据平面。当在 EC2 实例上使用 Amazon ECS 时，与在 Fargate 上使用 ECS 相比，您需要承担更多的安全责任。具体来说，您需要负责对 EC2 实例上的 ECS 代理和工作节点配置进行监督。

在 Fargate 中，每个任务在其专用虚拟机 (VM) 内运行，任务之间没有共享操作系统或内核资源。使用 Fargate 时，AWS 负责云中底层实例的安全性以及用于运行您的任务的运行时。

在部署容器运行时镜像时，您的责任包括配置应用程序、确保容器安全以及应用 任务运行时安全的最佳实践。这些最佳实践有助于限制对手超越本地容器进程范围的影响。

Amazon GuardDuty 运行时监控整合

随着新功能的发布，EKS 运行时监控已整合到 GuardDuty 运行时监控中。通过此整合，您可以一次性管理 AWS 账户的配置，而不必单独为每种资源类型EC2 实例、ECS 集群或 EKS 集群管理运行时监控配置。系统提供每个区域的视图，以便您可以启用运行时监控并管理多个资源类型中的 GuardDuty 安全代理，因为它们现在共享启用或禁用的公共值。

注意： GuardDuty 安全代理仍需为每个支持的资源类型单独配置。

在接下来的部分中，我们将指导您如何启用 GuardDuty 运行时监控以及如何重新配置现有的 EKS 运行时监控部署。我们还将介绍如何启用 ECS Fargate 和 EC2 资源类型的监控。

如果在此功能发布之前您使用过 EKS 运行时监控，您将在更新的 AWS 管理控制台中注意到一些配置选项。建议您为每个 AWS 账户启用运行时监控；为此，请按照以下步骤操作：

在 GuardDuty 控制台，在导航窗格的 保护计划 下选择 运行时监控。选择 配置 选项卡，然后选择 编辑。在 运行时监控 下，选择 启用所有账户。在 自动代理配置 Amazon EKS 下，确保选择了 启用所有账户。

Amazon GuardDuty ECS 运行时监控用于 Fargate

对于使用 Fargate 容量提供者的 ECS，GuardDuty 将安全代理作为 边车容器 与关键任务容器一起部署。这不需要您对 Fargate 任务的部署进行任何更改，并确保新任务将具有 GuardDuty 运行时监控。如果 GuardDuty 安全代理边车容器无法以健康状态启动，ECS Fargate 任务将不会被阻止运行。

使用 GuardDuty ECS 运行时监控进行 Fargate 部署时，您可以在 AWS 账户内的 Amazon ECS Fargate 集群上安装代理或仅在选定集群上安装。接下来的部分将展示您如何启用该服务并配置代理。

先决条件

如果还没有激活 GuardDuty，请了解 免费试用和定价 并按照 开始使用 GuardDuty 中的步骤设置服务并开始监控您的账户。或者，您可以通过使用 AWS CLI 激活 GuardDuty。有关支持的最低 Fargate 环境版本和容器操作系统的信息，请参见 AWS Fargate (仅 Amazon ECS) 支持的先决条件。用于运行 Amazon ECS 任务的 AWS 身份与访问管理 (IAM) 角色必须被授予访问 Amazon ECR 的适当权限 以下载 GuardDuty 边车容器。有关承载 GuardDuty 代理的 Amazon ECR 仓库的更多信息，请参见 AWS Fargate 的 GuardDuty 代理仓库 (仅 Amazon ECS)。

启用 Fargate 运行时监控

要为 ECS Fargate 启用 GuardDuty 运行时监控，请执行以下步骤：

在 GuardDuty 控制台，在导航窗格的 保护计划 下选择 运行时监控。选择 配置 选项卡，然后在 AWS Fargate (仅 ECS) 部分选择 启用。

如果您的 AWS 账户在 AWS Organizations 中进行管理，并且您在多个 AWS 账户中运行 ECS Fargate 集群，只有 GuardDuty 委派管理员账户能够为成员账户启用或禁用 GuardDuty ECS 运行时监控。GuardDuty 是一个区域性服务，必须在每个所需区域中启用。如果您使用多个账户并希望集中管理 GuardDuty，请参阅 在 Amazon GuardDuty 中管理多个账户。

您可以使用相同的过程启用 GuardDuty ECS 运行时监控并管理 GuardDuty 安全代理。建议为 组织中的成员账户自动启用 GuardDuty ECS 运行时监控。

要自动启用 GuardDuty 运行时监控新账户的设置：在 GuardDuty 控制台，在导航窗格的 保护计划 下选择 运行时监控。选择 配置 选项卡，然后选择 编辑。在 运行时监控 下，确保选择 启用所有账户。在 自动代理配置 AWS Fargate (仅 ECS) 下，选择 启用所有账户，然后选择 保存。

启用 GuardDuty ECS 运行时监控后，GuardDuty 可以开始监控和分析您账户中 ECS 任务的运行时活动事件。GuardDuty 会自动在您部署 Fargate 任务的 VPC 中为您的 AWS 账户创建一个虚拟私有云 (VPC) 端点。GuardDuty 代理使用此 VPC 端点将遥测和配置数据反馈给 GuardDuty 服务 API。为了使 GuardDuty 能够接收您 ECS Fargate 集群的运行时事件，您可以选择以下三种方法之一来部署完全托管的安全代理：

监控现有和新创建的 ECS Fargate 集群监控现有和新创建的 ECS Fargate 集群，并排除某些 ECS Fargate 集群仅监控选定的 ECS Fargate 集群

建议对每个 ECS Fargate 集群进行监控，然后根据需要排除集群。要了解更多信息，请查看 配置 GuardDuty ECS 运行时监控。

监控所有 ECS Fargate 集群

当您希望 GuardDuty 自动部署和管理安全代理时，请使用此方法。GuardDuty 在创建新 ECS Fargate 集群时会自动安装安全代理。

要为每个 ECS 集群启用 GuardDuty 运行时监控：在 GuardDuty 控制台，在导航窗格的 保护计划 下选择 运行时监控。选择 配置 选项卡。在 自动代理配置 下的 AWS Fargate (仅 ECS) 部分，选择 启用。

监控所有 ECS Fargate 集群并排除选定的 ECS Fargate 集群

GuardDuty 会在每个 ECS Fargate 集群上自动安装安全代理。要从 GuardDuty 运行时监控中排除一个 ECS Fargate 集群，您可以使用键值对 GuardDutyManagedfalse 作为标签。在启用运行时监控之前或集群创建期间，将此排除标签添加到您的 ECS Fargate 集群，以防止自动监控。

要为 ECS 集群添加排除标签：在 Amazon ECS 控制台，在导航窗格的 集群 下选择 集群名称。选择 标签 选项卡。选择 管理标签，输入键 GuardDutyManaged 和值 false，然后选择 保存。

为了确保这些标签不被修改，您可以 防止标签被修改，只有授权主体才能修改。

监控选定的 ECS Fargate 集群

当您希望 GuardDuty 专门为特定 ECS Fargate 集群处理安全代理的部署和更新时，可以监控选定的 ECS Fargate 集群。这可以是您希望评估 GuardDuty ECS 运行时监控的一个用例。通过使用包含键值对 GuardDutyManagedtrue 的包含标签，GuardDuty 仅为被标记为该标签的 ECS Fargate 集群自动部署和管理安全代理。要使用包含标签，请确保 AWS Fargate (ECS) 的自动代理配置尚未启用。

要为 ECS 集群添加包含标签：在 Amazon ECS 控制台，在导航窗格的 集群 下选择 集群名称。选择 标签 选项卡。选择 管理标签，输入键 GuardDutyManaged 和值 true，然后选择 保存。

为确保这些标签不被修改，您可以 防止标签被修改，只有授权主体才能修改。

Fargate 任务级的推出

当您为 Fargate 启用 GuardDuty ECS 运行时监控后，新创建的任务将包含 GuardDuty 代理边车容器。对于预先存在的长期运行任务，您可能希望考虑针对性部署以激活 GuardDuty 边车安全容器。这可以通过使用 [滚动更新 (ECS 部署类型)](https//docsawsamazoncom/AmazonECS/latest/developerguide