Ansichten:

Container Security unterstützt den Schutz von verbundenen Amazon ECS Fargate-Containern.

Wichtig
Wichtig
Bevor Sie fortfahren, müssen Sie Ihren Amazon ECS-Cluster verbinden, der den Fargate-Container hostet:
Der ECS Task Definition Patcher ist ein auf Lambda basierender Dienst, der Amazon ECS Fargate-Aufgabendefinitionen automatisch patcht, um Container Security-Container (Falco, Scout und Pdig) nach Version 2.0.0 einzuschließen. Beim Einsatz von Container Security sollten Sie Folgendes beachten:
  • Der Container muss über Internetzugang verfügen.
  • Container Security verwendet ptrace, um Container zu überprüfen. Wenn Sie ebenfalls ptrace verwenden, funktioniert die Überwachung möglicherweise nicht korrekt.
  • Container Security ermöglicht pidMode in der Aufgabenbeschreibung. Das Aktivieren von pidMode führt zu nur einer ECS Exec-Sitzung pro Aufgabe. Weitere Informationen finden Sie unter Verwendung von Amazon ECS Exec zur Fehlerbehebung.
  • Container Security auf Fargate erfordert mindestens 1 vCPU (1024 CPU-Einheiten) und 512 MiB Speicher. Folgen Sie der AWS Task-Größentabelle, um die geeignete Task-Größe für das Ausführen von Container Security und Workloads auf Fargate zu bestimmen.
Hinweis
Hinweis
Fargate-Dienste, die manuell gepatcht werden, werden nicht automatisch gepatcht. Verwenden Sie die ursprüngliche Task-Definition ohne das Container Security-Image, um sicherzustellen, dass der Fargate-Dienst automatisch gepatcht werden kann.

Prozedur

  1. In der Trend Vision One Konsole navigieren Sie zu Cloud SecurityContainer SecurityInventory/Overview.
  2. Klicken Sie im Baum auf Amazon ECS, suchen Sie dann den Fargate-Cluster in der Liste und klicken Sie darauf.
  3. Aktivieren Sie Runtime Security.
  4. Melden Sie sich in einem anderen Browser-Tab bei dem AWS-Konto an, das den Cluster hostet.
    Wichtig
    Wichtig
    Die folgenden AWS-Anweisungen und Bildschirmfotos waren gültig ab dem 19. November 2025. Für weitere Hilfe konsultieren Sie Ihre AWS-Dokumentation.
  5. Fügen Sie die unten beschriebenen zusätzlichen Berechtigungen zur Aufgabenrolle des Fargate-Dienstes hinzu, den Sie schützen möchten:
    ContainerTaskRolesAmazonECS=ee25cd00-64c9-4c8d-830a-e9c9bd196a31.png
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:GetParameter",
            "Resource": "arn:aws:ssm:${Region}:${Account}:parameter/V1CS/*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:${Region}:${Account}:secret:/V1CS/${CLUSTER_NAME}/AuthToken-*"
        },
        {
            "Effect": "Allow",
            "Action": "ecs:TagResource",
            "Resource": "arn:aws:ecs:${Region}:${Account}:task/*"
        }
    ]
}
    Wobei gilt:
    • $(Region) - The region where the Fargate container is hosted (for example, us-east-1).
    • $Account) - Das AWS-Konto, das den Fargate-Container verwaltet.
    • ${CLUSTER_NAME} - Der Cluster, in dem dieser Fargate-Dienst bereitgestellt wird. Sie können dieses Feld durch * ersetzen, um diese IAM-Rolle auf jeden Cluster anzuwenden.
  6. Die trendmicro-container-security-ecs-taskdef-patcher-Lambda aktualisiert die Aufgabenbeschreibung und stellt den ECS-Dienst mit der neuen Aufgabenbeschreibung erneut bereit.
    Hinweis
    Hinweis
    Nur der AWS ECS-Dienst wird unterstützt; ECS-Aufgaben werden nicht unterstützt.