运行时监控如何与 Fargate（仅限 Amazon ECS）结合使用

启用 GuardDuty 安全代理的影响

GuardDuty 创建虚拟私有云（VPC）端点和安全组

• 当您部署 GuardDuty 安全代理时， GuardDuty 将创建一个 VPC 端点，以便让安全代理通过该端点将运行时事件传递到 GuardDuty。

  除该 VPC 端点外， GuardDuty 还会创建一个新的安全组。入站（入口）规则负责控制被允许达到与该安全组关联的资源的流量。 GuardDuty 添加与资源的 VPC CIDR 范围相匹配的入站规则，并且还会在 CIDR 范围发生变化时对规则进行调整。有关更多信息，请参阅《Amazon VPC 用户指南》中的 VPC CIDR 范围。

• 将集中式 VPC 与自动代理结合使用：当您对某个资源类型使用 GuardDuty自动代理配置时， GuardDuty 将代表您为所有资源类型创建一个 VPC 端点 VPCs。这包括集中式 VPC 和分支 VPC VPCs。 GuardDuty不支持仅为集中式 VPC 创建 VPC 端点。有关集中式 VPC 工作原理的更多信息，请参阅《Amazon 白皮书：构建可扩展且安全的多 VPC Amazon 网络基础设施》中的 Inter face VPC endpoin ts。

• 使用 VPC 端点不会产生额外的成本。

GuardDuty 添加边车容器

对于开始运行的新 Fargate 任务或服务，一个 GuardDuty 容器（附加容器）会将自身挂载到该 Amazon ECS Fargate 任务中的每个容器。 GuardDuty 安全代理在挂载的 GuardDuty 容器中运行。这 GuardDuty 有助于收集在这些任务中运行的每个容器的运行时事件。

启动 Fargate 任务时，如果 GuardDuty 容器（附加容器）无法在正常状态下启动，则运行时监控在设计上不会阻止任务运行。

默认情况下，Fargate 任务是不可变的。 GuardDuty 当任务已经处于正在运行状态时，不会部署附加容器。要监控已在运行的任务中的容器，可以停止并重新启动该任务。

监控所有 Amazon ECS 集群

这种方法有助您在账户级别检测潜在的安全威胁。如果您希望 GuardDuty 检测账户中所有 Amazon ECS 集群的潜在安全威胁，请使用此方法。

排除特定的 Amazon ECS 集群

如果您 GuardDuty 想检测 Amazon 环境中大多数 Amazon ECS 集群的潜在安全威胁，但排除某些集群，请使用此方法。此方法有助您在集群级别监控 Amazon ECS 任务中容器的运行时行为。例如，您的账户中有 1000 个 Amazon ECS 集群，但您只想监控其中 930 个 Amazon ECS 集群。

使用这种方法时，需要向您不想监控的 Amazon ECS 集群添加预定义 GuardDuty 标签。有关更多信息，请参阅 管理 Fargate（仅限 Amazon ECS）的自动安全代理。

包含特定的 Amazon ECS 集群

如果您希望 GuardDuty 检测部分 Amazon ECS 集群的潜在安全威胁，请使用此方法。此方法有助您在集群级别监控 Amazon ECS 任务中容器的运行时行为。例如，您的账户中有 1000 个 Amazon ECS 集群，但您想监控其中 230 个集群。

使用这种方法时，需要向您想监控的 Amazon ECS 集群添加预定义 GuardDuty 标签。有关更多信息，请参阅 管理 Fargate（仅限 Amazon ECS）的自动安全代理。