Container Securityは接続されたAmazon ECS Fargateコンテナの保護をサポートします。
 |
重要続行する前に、FargateコンテナをホストするAmazon ECSクラスターに接続する必要があります。
|
ECSタスク定義パッチャーは、Amazon ECS Fargateタスク定義にContainer Securityコンテナ (Falco、Scout、Pdig) をバージョン
2.0.0以降に自動的にパッチするLambdaベースのサービスです。Container Securityをデプロイする際には、次の点に注意してください。-
コンテナはインターネットにアクセスできる必要があります。
-
Container Securityは
ptraceを使用してコンテナを検査します。ptraceを使用している場合、監視が正しく機能しない可能性があります。 -
Container Securityはタスク定義で
pidModeを有効にします。pidModeを有効にすると、タスクごとに1つのECS Execセッションのみが許可されます。詳細については、Amazon ECS Execを使用したデバッグを参照してください。 -
FargateのContainer Securityには、1つ以上のvCPU (1024 CPUユニット) と512MiBのメモリが必要です。 AWSをフォローするタスクサイズ表Container SecurityとFargateでのワークロードを実行するための適切なタスクサイズを決定します。
 |
注意手動でパッチを適用されたFargateサービスは自動的にパッチが適用されません。Fargateサービスが自動的にパッチされるようにするには、Container Securityイメージを使用しない元のタスク定義を使用してください。
|
手順
- Trend Vision Oneコンソールで の順に選択します。
- ツリー内で[Amazon ECS]をクリックし、リスト内のFargateクラスターを見つけてクリックします。
- [ランタイムセキュリティ]をオンにします。
- 別のブラウザタブで、クラスターをホストしているAWS accountにサインインしてください。
重要
以下のAWSの指示とスクリーンショットは2025年11月19日時点で有効です。さらに詳しい情報が必要な場合は、AWSのドキュメントを確認してください。 - 保護したいFargateサービスのタスクロールに、以下に記載されている追加の権限を追加してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:GetParameter", "Resource": "arn:aws:ssm:${Region}:${Account}:parameter/V1CS/*" }, { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:${Region}:${Account}:secret:/V1CS/${CLUSTER_NAME}/AuthToken-*" }, { "Effect": "Allow", "Action": "ecs:TagResource", "Resource": "arn:aws:ecs:${Region}:${Account}:task/*" } ] }各要素の説明は次のとおりです。-
$(Region)- Fargateコンテナがホストされているリージョン (例: us-east-1)。 -
$Account)- Fargateコンテナを管理するAWS account。 -
${CLUSTER_NAME}- このFargateサービスがデプロイされるクラスターです。このフィールドを*に置き換えることで、このIAMロールを任意のクラスターに適用できます。
-
trendmicro-container-security-ecs-taskdef-patcherラムダはタスク定義を更新し、新しいタスク定義でECSサービスを再デプロイします。注意
AWS ECSサービスのみがサポートされており、ECSタスクはサポートされていません。