Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Considerazioni relative alla sicurezza delle istanze di container di Amazon EC2 per Amazon ECS
È consigliabile prendere in considerazione una singola istanza di container e il relativo accesso all'interno del modello di minaccia. Ad esempio, una singola attività interessata potrebbe essere in grado di sfruttare le autorizzazioni IAM di un'attività non infetta sulla stessa istanza.
Per impedirlo, consigliamo di utilizzare la procedura seguente:
-
Non utilizzare i privilegi di amministratore quando esegui le attività.
-
Assegna un ruolo di attività con accesso meno privilegiato alle attività.
L'agente di container crea in automatico un token con un ID di credenziali univoco che viene utilizzato per accedere alle risorse Amazon ECS.
-
Per impedire ai container eseguiti da attività che utilizzano la modalità di rete
awsvpcdi accedere alle informazioni sulle credenziali fornite al profilo dell'istanza Amazon EC2, continuando allo stesso tempo a concedere le autorizzazioni fornite dal ruolo dell'attività, imposta la variabile di configurazione dell'agenteECS_AWSVPC_BLOCK_IMDSsu true nel file di configurazione dell'agente e riavvia l'agente. -
Usa Amazon GuardDuty Runtime Monitoring per rilevare le minacce per cluster e contenitori all'interno del tuo AWS ambiente. Runtime Monitoring utilizza un agente di GuardDuty sicurezza che aggiunge visibilità di runtime ai singoli carichi di lavoro Amazon ECS, ad esempio accesso ai file, esecuzione dei processi e connessioni di rete. Per ulteriori informazioni, consulta GuardDutyRuntime Monitoring nella Guida per l'GuardDuty utente.
