Verwalten von Amazon ECS-Richtlinien

Prozedur

1. Navigieren Sie zu Cloud Security → Container Security → Konfiguration.
2. Klicken Sie auf die Registerkarte Richtlinie.
3. Erstellen, duplizieren oder ändern Sie eine Richtlinie.
   • Klicken Sie auf +Create, um eine neue Richtlinie zu erstellen.
   • Um eine bestehende Richtlinie zu duplizieren:
     1. Klicken Sie, um die Basisrichtlinie aus der Richtlinienliste auszuwählen.
     2. Klicken Sie auf Duplizieren.
        Container Protection erstellt eine Kopie der bestehenden Richtlinie und fügt "Richtlinie" zum Richtliniennamen hinzu.
   • Um eine bestehende Richtlinie zu ändern, klicken Sie auf die Richtlinie in der Richtlinienliste.
4. Für neue und duplizierte Richtlinien geben Sie die folgenden Richtliniendetails ein:
   1. Geben Sie einen eindeutigen Namen der Richtlinie an.

      Hinweis Richtliniennamen dürfen keine Leerzeichen enthalten und unterstützen nur alphanumerische Zeichen, Unterstriche (_) und Punkte (.). Sie können den Richtliniennamen nach der Erstellung der Richtlinie nicht mehr ändern.

   2. Um weitere Details zum Zweck der Richtlinie anzugeben, verwenden Sie das Feld Beschreibung.
      Die Beschreibung erscheint unter dem Richtliniennamen in der Richtlinienliste.
   3. Um CREM Risk Insights, Workbench-Warnungen zu erhalten und die Such-App zu verwenden, um Sicherheitsbedrohungen in Ihrer Netzwerkumgebung zu untersuchen, aktivieren Sie XDR Telemetry.
      TrendAI Vision One™ kann XDR-Telemetriedaten aus allen konfigurierten Datenquellen korrelieren und bewerten, um Einblicke in die Sicherheits- und Risikolage Ihres Netzwerks zu bieten.
   4. Wählen Sie Amazon ECS als Zielplattform aus und klicken Sie dann auf Proceed to Security Controls.

      Hinweis Sobald ein Plattformfeld für eine Richtlinie festgelegt ist, kann es nicht mehr geändert werden.

5. Definieren Sie die clusterweiten Sicherheitskontrollen.
   Verteilung-Regeln gelten, bevor ein Image bereitgestellt wird. Amazon ECS-Richtlinien unterstützen keine Continuous-Richtlinien.
   1. Wählen Sie die Regeln aus, die Sie auf den Cluster anwenden möchten.

      Hinweis Die folgenden Regeln für Ressourceneigenschaften gelten nur für EC2-Bereitstellungen (nicht für Fargate): Ressourceneigenschaftsregelgruppe <Log/Sperren> Regel Aufgabeneigenschaften Container, die im Netzwerk-Namespace des Hosts ausgeführt werden   Container, die im IPC-Namespace des Hosts ausgeführt werden   Container, die im Host-PID-Namespace ausgeführt werden Container-Eigenschaften Privilegierte Container

   2. Wählen Sie die Aktion (Protokoll/Sperren), die nach dem Auslösen einer Regel angewendet werden soll.
      Sperren verhält sich je nach Arbeitslasttyp unterschiedlich:

      • Eigenständige Aufgaben: Die Aufgabe ist beendet und der Grund für den Verstoß kann auf der TrendAI Vision One™-Konsole eingesehen werden.
      • Replica-Set-Dienste: Der Dienst wird auf null skaliert, die automatische Skalierung wird deaktiviert, falls vorhanden, und Tags mit den Verstoßgründen werden hinzugefügt, um anzuzeigen, dass der Dienst durch die Zugangskontrolle gesperrt wurde.
      • Daemon-Set-Dienste: Eine unmögliche Platzierungseinschränkung wird auf den Dienst angewendet, wodurch Aufgaben nicht ausgeführt werden können, und Tags mit dem Verstoßgrund werden hinzugefügt, um anzuzeigen, dass der Dienst durch die Zugriffskontrolle gesperrt wurde.
   3. Wenn die Regel zusätzliche Parameter bereitstellt, definieren Sie die zu überprüfenden Werte.
      Klicken Sie auf das Hinzufügen-Symbol (+) neben der Regel, um die Regel zu duplizieren und mehrere Regeln desselben Regeltyps zu haben.

      Für die Resource properties-Regel [action] containers with capabilities that do not conform with a [predefined] policy konsultieren Sie die folgende Tabelle für zusätzliche Informationen.

      Vordefinierte Richtlinie	Beschreibung
      Einschränken-nicht-Standard	Erlaubt Funktionen, die zu den [standardmäßigen Docker-Funktionen] gehören Für weitere Informationen über die standardmäßigen Docker-Richtlinien besuchen Sie die Docker-Website unter: https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities
      Baseline	Erlaubt Standardfunktionen, aber nicht die NET_RAW-Funktion Hinweis NET_RAW ist eine Standardberechtigung, die die Verwendung von RAW- und PACKET-Sockets ermöglicht. Mit dieser Berechtigung kann ein bösartiger Benutzer Pakete fälschen, MITM-Angriffe ausführen und andere Netzwerkausnutzungen durchführen. Dieses Privileg wird normalerweise nur für spezifische Netzwerkbedürfnisse verwendet, daher sollte das Entfernen keine Auswirkungen auf die Mehrheit der Anwendungen haben.
      unzulässig	Erlaubt nur die NET_BIND_SERVICE-Fähigkeit Hinweis NET_BIND_SERVICE ist eine Standardfunktion, die das Binden an privilegierte Internet-Domain-Ports (Portnummern kleiner als 1024) ermöglicht. Sie wird häufig von Webservern verwendet und um Nicht-Root-Benutzern den Zugriff auf diese Ports zu gewähren.
      alle-einschränken	Erlaubt keine Fähigkeit

      Hinweis TrendAI™ empfiehlt, die Anforderungen an Container zu berücksichtigen und eine Fähigkeitsrichtlinie gemäß dem Prinzip der geringsten Privilegien anzuwenden.

   4. Konfigurieren Sie die gewünschten DURCHSUCHUNGSAUSNAHMEN.

      Hinweis Eine Ausnahme wird automatisch hinzugefügt, um vertrauenswürdige Images zuzulassen, die von Container Security verwendet werden.

   5. Konfigurieren Sie die Regeln zur Überprüfung der Bildsignatur nach Bedarf.
      In diesem Abschnitt können Sie erzwingen, dass Bilder von einer vertrauenswürdigen Quelle signiert werden, bevor sie bereitgestellt werden können. Diese Funktion verwendet Attestatoren, die separat verwaltet werden. Weitere Informationen finden Sie unter Attestatoren verwalten.

      Hinweis TrendAI Vision One™ unterstützt derzeit nur die Überprüfung von Signaturen für Images, die in öffentlichen Registries gespeichert sind, oder für Images, die im privaten ECR desselben Kontos gespeichert sind, in das die Images bereitgestellt werden. Die Überprüfung von Signaturen für private ECR-Images über Konten hinweg wird nicht unterstützt. Richtlinienausschlüsse gelten nicht für die Signaturüberprüfungsregel. Die Bildsignaturüberprüfung hat eigene Ausnahmen, die mit dem Preconditions konfiguriert werden können.

      1. Definieren Sie Condition(s), um festzulegen, auf welche Container-Images die Regel angewendet wird.
      2. Wählen Sie im Dropdown-Menü Signature material einen oder mehrere vorkonfigurierte Attestatoren aus. Entscheiden Sie, ob Sie Match all oder Match any der ausgewählten Attestatoren möchten. Wenn Sie einen neuen Attestator hinzufügen müssen, können Sie den Link Add attestor im Dropdown-Menü verwenden.
      3. Wählen Sie die Aktion, die ergriffen werden soll, wenn ein Bild gegen die Regel verstößt (Protokoll oder Sperren).
      4. Klicken Sie auf Add new verification rule, um mehrere unabhängige Signaturregeln innerhalb derselben Richtlinie zu erstellen.
6. Definieren Sie die clusterweiten Regeln, die während des Betriebs eines Pods gelten, indem Sie auf die Registerkarte RuntimeRuntime ruleset klicken.
   Die Laufzeitrichtlinie besteht aus den Regelsätzen, die Sie erstellen auf der Registerkarte Rulesets.
   1. Klicken Sie auf Add Ruleset.
   2. Wählen Sie das Kontrollkästchen des Regelwerks aus, das Sie auf die Richtlinie anwenden möchten.
   3. Klicken Sie auf Absenden.
7. Amazon ECS-Richtlinien unterstützen keine Namespace-Richtlinien (NamespacedPolicyDefinition).
8. Klicken Sie auf Erstellen oder Speichern.