Amazon EC2 实例支持的先决条件 - Amazon GuardDuty
将 EC2 实例设为由 SSM 托管验证架构要求验证组织服务控制策略使用自动代理配置时CPU 和内存限制后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon EC2 实例支持的先决条件

本节包含监控 Amazon EC2 实例的运行时行为的先决条件。满足这些先决条件后,请参阅启用 GuardDuty 运行时监控

将 EC2 实例设为由 SSM 托管

您想 GuardDuty 监控运行时事件的 Amazon EC2 实例必须由 Amazon Systems Manager (SSM)托管。无论您是使用自动管理安全代理 GuardDuty ,还是手动管理安全代理,都必须满足此先决条件。但是,当您使用手册手动管理代理时方法 2 – 使用 Linux 软件包管理器,无需使用 SSM 管理您的 EC2 实例。

要使用管理您的亚马逊 EC2 实例 Amazon Systems Manager,请参阅Amazon Systems Manager 用户指南中的为亚马逊 EC2 实例设置 Systems Manager

基于 Fedora 的实例 EC2 的注意事项

Amazon Systems Manager 不支持 Fedora 操作系统发行版。启用运行时监控后,使用手动方法 (方法 2 – 使用 Linux 软件包管理器) 在基于 Fedor EC2 a 的实例中安装安全代理。

有关支持的平台的信息,请参阅《Amazon Systems Manager 用户指南》中的支持的软件包平台和架构

验证架构要求

操作系统发行版的架构可能会影响 GuardDuty 安全代理的行为方式。在为 Amazon EC2 实例使用运行时监控之前,您必须满足以下要求:

  • 内核支持包括eBPFTracepointsKprobe。对于 CPU 架构,运行时监控支持 AMD64 (x64) 和 ARM64 (Graviton2 及更高版本)。1

    下表列举了已验证能够支持适用于 Amazon EC2 实例 GuardDuty的安全代理的操作系统发行版。

    操作系统分发 2 内核版本 3
    Amazon Linux 2

    5.4 4、5.10 4、5.15
    Amazon Linux 2023

    5.4 4、5.10 4、5.15、6.5、6.8、6.12
    Ubuntu 20.04 和 Ubuntu 22.04

    5.4 4、5.10 4、5.15、6.1、6.5、6.8
    Ubuntu 24.04

    6.8
    Debian 11 和 Debian 12

    5.4 4、5.10 4、5.15、6.1、6.5、6.8
    RedHat 9.4

    5.14
    Fedora 34.0 5

    5.11、5.17
    CentOS Stream 9

    5.14
    甲骨文 Linux 8.9

    5.15
    甲骨文 Linux 9.3

    5.15
    Rocky Linu

    5.14

    1. Amazon EC2 资源的运行时监控不支持第一代 Graviton 实例,例如 A1 实例类型。

    2. 支持多种操作系统: GuardDuty 已验证运行时监控,支持上表所列操作发行版。虽然 GuardDuty 安全代理可以在上表中未列出的操作系统上运行,但该 GuardDuty 团队无法保证预期的安全值。

    3. 对于任何内核版本,都必须将该CONFIG_DEBUG_INFO_BTF标志设置为y(意思是 true)。这是必需的,以便 GuardDuty 安全代理可以按预期运行。

    4. 对于内核版本 5.10 及更早版本, GuardDuty 安全代理使用 RAM (RLIMIT_MEMLOCK) 中的锁定内存来按预期运行。如果您的系统RLIMIT_MEMLOCK值设置得太低, GuardDuty 建议将硬限制和软限制都设置为至少 32 MB。有关验证和修改默认RLIMIT_MEMLOCK值的信息,请参见查看和更新RLIMIT_MEMLOCK值

    5. Fedora 不是支持自动代理配置的平台。你可以使用方法 2 – 使用 Linux 软件包管理器在 Fedora 上部署 GuardDuty安全代理。

  • 其他要求:仅限您使用 Amazon ECS/Amazon 时 EC2

    对于 Amazon ECS/ EC2 Amazon ECS AMIs 代理版本 v1.77.0。

查看和更新RLIMIT_MEMLOCK

当您的系统RLIMIT_MEMLOCK限制设置得太低时, GuardDuty 安全代理可能无法按设计运行。 GuardDuty 建议硬限制和软限制都必须至少为 32 MB。如果您不更新限制, GuardDuty 将无法监控资源的运行时事件。RLIMIT_MEMLOCK当超过规定的最低限额时,您可以选择更新这些限制。

您可以在安装 GuardDuty 安全客户端之前或之后修改默认RLIMIT_MEMLOCK值。

查看RLIMIT_MEMLOCK

  1. 运行 ps aux | grep guardduty。这将输出进程 ID (pid)。

  2. 从上一条命令的输出中复制进程 ID (pid)。

  3. pid替换为从上一步中复制的进程 ID grep "Max locked memory" /proc/pid/limits 后运行。

    这将显示运行 GuardDuty 安全代理时的最大锁定内存。

更新RLIMIT_MEMLOCK

  1. 如果该/etc/systemd/system.conf.d/NUMBER-limits.conf文件存在,则DefaultLimitMEMLOCK从该文件中注释掉该行。此文件将默认设置RLIMIT_MEMLOCK为高优先级,这会覆盖您在/etc/systemd/system.conf文件中的设置。

  2. 打开/etc/systemd/system.conf文件并取消注释包含的行。#DefaultLimitMEMLOCK=

  3. 更新默认值,将硬限制和软RLIMIT_MEMLOCK限制设置为至少 32MB。更新应该如下所示:DefaultLimitMEMLOCK=32M:32M. 格式为 soft-limit:hard-limit

  4. 运行 sudo reboot

验证组织服务控制策略

如果您设置了服务控制策略(SCP)来管理组织中的权限,请验证权限边界允许该guardduty:SendSecurityTelemetry操作。需要此权限 GuardDuty 才能支持不同资源类型的运行时监控。

如果您是成员账户,则连接到关联的委派管理员。有关为您的组织 SCPs 进行管理的信息,请参阅服务控制策略 (SCPs)

使用自动代理配置时

使用自动代理配置(推荐)有,您 Amazon Web Services 账户 必须满足以下先决条件:

  • 将包含标签与自动代理配置结合使用时, GuardDuty 为了能为新实例创建 SSM 关联,请确保新实例由 SSM 托管并显示在控制台的实例集管理器下。https://console.aws.amazon.com/systems-manager/

  • 将排除标签与自动代理配置结合使用时

    • 在为您的账户配置 GuardDuty 自动代理之前,请添加GuardDutyManaged:false标签。

      务必要在启动 Amazon EC2 实例之前添加排除标签。为 Amazon 启用自动代理配置后 EC2,任何在没有使用排除标签的情况下启动的 EC2 实例都将属 GuardDuty 自动代理配置的覆盖范围。

    • 要使排除标签生效,请更新实例配置,以便实例身份文档在实例元数据服务(IMDS)中可用。执行此步骤的过程已经是为账户启用运行时监控的一部分。

GuardDuty 代理的 CPU 和内存限制

CPU 限制

对于与 Amazon EC2 实例关联 GuardDuty 的安全代理,最大 CPU 限制为 vCPU 核心总数的 10%。例如,如果您的 EC2 实例有 4 个 vCPU 核心,则在 400% 的总可用容量中,安全代理最多可以使用 40%。

内存限制

对于与 Amazon EC2 实例关联的内存, GuardDuty 安全代理可以使用的内存限制。

具体内存限制详见下表。

Amazon EC2 实例内存大小

GuardDuty 代理可使用的最大内存大小

小于 8 GB

128MB

小于 32 GB

256 MB

大于等于 32 GB

1 GB

后续步骤

下一步是配置运行时监控并管理安全代理(自动或手动)。