Amazon ECSポリシーの管理

手順

1. [Cloud Security] → [Container Security] → [設定]に移動します。
2. [ポリシー] タブをクリックします。
3. ポリシーを作成、複製、または変更します。
   • 新しいポリシーを作成するには、[+Create] をクリックします。
   • 既存のポリシーを複製するには
     1. クリックして、ポリシーリストから基本ポリシーを選択します。
     2. [複製] をクリックします。
        Container Protectionによって既存のポリシーのコピーが作成され、ポリシー名に「Policy」が追加されます。
   • 既存のポリシーを変更するには、ポリシーリストで目的のポリシーをクリックします。
4. 新規および重複したポリシーについては、次のポリシー詳細を入力してください。
   1. 一意のポリシー名を指定します。

      注意 ポリシー名にスペースを含めることはできません。使用できるのは、英数字、アンダースコア (_)、およびピリオド (.) のみです。 ポリシーの作成後にポリシー名を変更することはできません。

   2. ポリシーの目的について詳細を提供するには、[説明]フィールドを使用してください。
      ポリシーリストのポリシー名の下に説明が表示されます。
   3. CREM RISK INSIGHTS、Workbenchアラートを受信し、ネットワーク環境全体のセキュリティの脅威を調査するためにSearchアプリを使用するには、[XDRテレメトリ]をオンにしてください。
      TrendAI Vision One™は、すべての設定済みデータソースにわたるXDRテレメトリーデータを相関させて評価し、ネットワークのセキュリティとリスクの状況に関する洞察を提供します。
   4. [Amazon ECS]をターゲットプラットフォームとして選択し、[セキュリティ管理に進む]をクリックします。

      注意 ポリシーにプラットフォームフィールドが設定されると、変更することはできません。

5. クラスター全体のセキュリティ制御を定義します。
   [デプロイメント]ルールはイメージがデプロイされる前に適用されます。Amazon ECSポリシーは[継続]ポリシーをサポートしていません。
   1. クラスタに適用するルールを選択します。

      注意 次のリソースプロパティルールは、EC2デプロイメントにのみ適用されます (Fargateには適用されません): リソースプロパティルールグループ <Log/Block> ルール タスクのプロパティ ホストネットワーク名前空間で実行されるコンテナ   ホストIPC名前空間で実行されるコンテナ   ホストPID名前空間で実行されるコンテナ コンテナプロパティ 特権コンテナ

   2. ルールの実行後に適用する処理 ([Log]/[Block]) を選択します。
      ブロックはワークロードの種類に応じて異なる動作をします。

      • スタンドアロンタスク: タスクは終了され、違反理由はTrendAI Vision One™コンソールで確認できます。
      • レプリカセットサービス: サービスはゼロにスケールダウンされ、オートスケーリングが存在する場合は無効化され、違反理由のタグが追加されてサービスがアドミッションコントロールによってブロックされたことを示します。
      • デーモンセットサービス: サービスに不可能な配置制約が適用されており、タスクの実行が妨げられています。違反理由を示すタグが追加され、サービスがアドミッションコントロールによってブロックされたことを示しています。
   3. ルールに追加のパラメータが指定されている場合は、確認する値を定義します。
      ルールの横にある追加記号 ([+]) をクリックして、ルールを複製し、同じルールタイプの複数のルールを作成します。

      [リソースプロパティ]ルール[[action] containers with capabilities that do not conform with a [predefined] policy]については、追加情報を得るために以下の表を参照してください。

      事前定義されたポリシー	説明
      restrict-nondefaults	[デフォルトのDocker機能]のいずれかである機能を許可します 初期設定のDockerポリシーの詳細については、次のDocker Webサイトを参照してください。https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities
      baseline	初期設定のケーパビリティは許可するが、NET_RAWケーパビリティは許可しない 注意 NET_RAWは、RAWおよびPACKETソケットの使用を許可する初期設定の機能です。この機能を使用すると、悪意のあるユーザがパケットを偽造したり、MITM攻撃を実行したり、その他のネットワークエクスプロイトを実行したりする可能性があります。この権限は通常、特定のネットワークニーズにのみ使用されるため、削除してもほとんどのアプリケーションに影響はありません。
      restricted	NET_BIND_SERVICE機能のみを許可します 注意 NET_BIND_SERVICEは、インターネットドメインの特権ポート (ポート番号が1024未満) へのバインドを許可する初期設定の機能です。多くの場合、Webサーバで使用され、root以外のユーザにこれらのポートへのアクセスを許可します。
      restrict-all	機能を許可しません

      注意 TrendAI™はコンテナのニーズを考慮し、最小特権の原則に従って能力ポリシーを適用することを推奨します。

   4. 必要に応じて検索除外を設定します。

      注意 除外が自動的に追加され、Container Securityで使用される信頼済みイメージが許可されます。

   5. 必要に応じてイメージ署名検証ルールを設定してください。
      このセクションでは、イメージが展開される前に信頼できるソースによって署名されていることを強制することができます。この機能は、別途管理されるアテスターを使用します。詳細については、アテスターを管理を参照してください。

      注意 TrendAI Vision One™は現在、パブリックレジストリに保存されたイメージまたは同じアカウントのプライベートECRに保存されたイメージの署名の検証のみをサポートしています。アカウントをまたがるプライベートECRイメージの署名検証はサポートされていません。 ポリシーの例外は署名検証ルールには適用されません。イメージ署名検証には独自の例外があり、Preconditionsを使用して設定できます。

      1. ルールが適用されるコンテナイメージを指定するために[Condition(s)]を定義します。
      2. [Signature material]ドロップダウンメニューから、1つ以上の事前設定された証明者を選択します。選択した証明者の[Match all]または[Match any]を選択します。新しい証明者を追加する必要がある場合は、ドロップダウンメニュー内の[アテスターを追加]リンクを使用できます。
      3. 画像がルールに違反した場合に取る[処理]を選択してください ([ログ] または [ブロック])。
      4. [新しい検証ルールを追加]をクリックして、同じポリシー内で複数の独立したシグネチャルールを作成します。
6. ポッドが実行中に適用されるクラスター全体のルールを定義するには、[ランタイム][ランタイムルールセット] タブをクリックしてください。
   実行時ポリシーは、[ルールセット]タブで作成するルールセットで構成されます。
   1. [Add Ruleset]をクリックします。
   2. ポリシーに適用するルールセットのチェックボックスをオンにします。
   3. [送信] をクリックします。
7. Amazon ECSポリシーでは、名前空間 ([NamespacedPolicyDefinition]) ポリシーはサポートされません。
8. [作成] または [保存]をクリックします。