Ansichten:
Funktion
Beschreibung
Runtime Security
Bietet Einblick in alle Aktivitäten Ihrer laufenden Container, die gegen eine anpassbare Regelmenge verstoßen.
Wichtig
Wichtig
TrendAI™ empfiehlt, mindestens 0,5 vCPU und 1 GB zusätzlichen Speicher zu Ihrer bestehenden ECS-Cluster-Knotengröße hinzuzufügen, bevor Sie die Laufzeitsicherheitsfunktion aktivieren. Dies ist eine allgemeine Empfehlung und kann basierend auf der Cluster-Knotengröße und der beobachteten CPU- und Speichernutzung angepasst werden. Siehe Passen Sie die CPU- und Speicherzuweisungen für ECS-Cluster an für weitere Informationen.
Runtime Scanning
Bietet Einblick in Schwachstellen des Betriebssystems und des Open-Source-Codes, die Teil von Containern sind, die in Clustern ausgeführt werden.
Wichtig
Wichtig
  • Sicherheitslücke-Laufzeitscans unterstützen Cluster mit reinen ARM64-CPU-Knoten oder reinen x86_64-CPU-Knoten. Gemischte CPU-Modi werden nicht unterstützt.
  • Eine Schwachstellensuche erfolgt für jedes neu bereitgestellte Image und wird dann alle 24 Stunden erneut durchsucht.
  • Sicherheitslücke-Laufzeitscans erfolgen bei allen aktiven Images im ECS-Cluster, einschließlich sowohl ECR- als auch Nicht-ECR-Images.
  • Container Security durchsucht Container in einem ECS-Cluster nach einem Zeitplan (alle 5 Minuten). Nach dem Auffinden eines neuen, nicht zwischengespeicherten Images sendet Container Security eine Scan-Anfrage an die Scan-Warteschlange, die eine SBOM-Erstellung im Scan-Lambda auslöst. Diese SBOM wird an AsaaS hochgeladen für eine Schwachstellensuche.

Prozedur

  1. Navigieren Sie zu Cloud SecurityContainer SecurityInventory/Overview.
  2. Klicken Sie im Baum auf Amazon ECS, suchen Sie den Cluster in der Liste und klicken Sie darauf.
  3. Aktivieren Sie Runtime Security.
  4. Aktivieren Sie Runtime Scanning.
  5. Klicken Sie auf Save.
Wichtig
Wichtig
Wenn der ECS-Cluster das trendmicro:patch-exclude=true AWS-Tag angewendet hat, markiert das Aktivieren der Laufzeitsicherheit den Cluster in der Konsole als Aktiviert, löst jedoch keine Aktualisierung der Task-Definitionen aus. Es werden keine Container Security-Container in die Fargate-Aufgaben des Clusters injiziert, bis das Tag entfernt wird. Weitere Informationen finden Sie unter Einen Amazon ECS-Cluster von der Patch-Verwaltung ausschließen.
Hinweis
Hinweis
Wenn Ihr ECS-Cluster Bottlerocket AMI verwendet, ist eine zusätzliche Konfiguration erforderlich, bevor Container Security bereitgestellt werden kann. Siehe Container Security auf Amazon ECS Bottlerocket-Instanzen aktivieren für weitere Informationen.