檢視次數:
功能
說明
Runtime Security
提供對任何違反可自定義規則集的運行容器活動的可見性。
重要
重要
TrendAI™ 建議在啟用執行時安全功能之前,除了現有需求之外,至少再分配額外的 0.5 vCPU 和 1 GB 記憶體給您的 ECS 叢集節點大小。這是一個通用建議,可以根據叢集節點大小和觀察到的 CPU 和記憶體使用情況進行調整。請參閱 調整 ECS 叢集的 CPU 和記憶體分配 以獲取詳細資訊。
Runtime Scanning
提供對叢集中運行的容器中作業系統和開源代碼弱點的可見性。
重要
重要
  • 弱點執行時掃描支援純 ARM64 CPU 節點或純 x86_64 CPU 節點的叢集。不支援混合 CPU 模式。
  • 每個新部署的映像都會進行一次弱點掃瞄,然後每24小時重新掃瞄一次。
  • 弱點執行時掃描會在 ECS 叢集內的所有活動映像上進行,包括 ECR 和非 ECR 映像。
  • Container Security 會依排程(每 5 分鐘)掃瞄 ECS 叢集中的容器。在發現新的未快取映像後,Container Security 會將掃瞄請求發佈到掃瞄佇列,這會觸發掃瞄 Lambda 中的 SBOM 生成。此 SBOM 會上傳到 AsaaS 進行弱點掃瞄。

步驟

  1. 移至「Cloud Security」「Container Security」「Inventory/Overview」
  2. 在樹狀結構中,點選Amazon ECS,找到並點選列表中的叢集。
  3. 開啟Runtime Security
  4. 開啟Runtime Scanning
  5. 點選儲存
重要
重要
如果 ECS 叢集已套用 trendmicro:patch-exclude=true AWS 標籤,啟用執行時安全性會在主控台中將叢集標記為已啟動,但不會觸發任務定義的修補。在移除標籤之前,不會將 Container Security 容器注入到叢集的 Fargate 任務中。如需詳細資訊,請參閱 排除 Amazon ECS 叢集的修補
注意
注意
如果您的 ECS 叢集使用 Bottlerocket AMI,則在部署 Container Security 之前需要進行額外的配置。請參閱 在 Amazon ECS Bottlerocket 實例上啟用 Container Security 以獲取詳細資訊。