Seguridad de Datadog proporciona múltiples capas de visibilidad para AWS Fargate. Utiliza los productos en combinación con otros para obtener una cobertura completa del stack, como se muestra en las tablas siguientes:
Activos de Fargate
Activos
Observabilidad
Corrección de vulnerabilidades y errores de configuración
Detección de amenazas y respuesta
Aplicación de Fargate
Application Performance Monitoring
Application Security Management
Application Security Management
Infraestructura de Fargate
Monitorización de infraestructura
Aún no compatible
CSM Threats
Recursos relacionados con Fargate
Activos
Observabilidad
Corrección de vulnerabilidades y errores de configuración
Detección de amenazas y respuesta
Roles y políticas de AWS IAM
Gestión de logs
Cloud Security Management
Cloud SIEM
Bases de datos de AWS
Gestión de logs
Cloud Security Management
Cloud SIEM
Buckets de AWS S3
Gestión de logs
Cloud Security Management
Cloud SIEM
Cloud Security Management
Requisitos previos
La integración de Datadog AWS está instalada y configurada para tus cuentas de AWS
Acceso a AWS Management Console
Cargas de trabajo de AWS Fargate ECS o EKS
Para obtener información adicional sobre el rendimiento y fiabilidad, Datadog recomienda habilitar la monitorización de infraestructura con Cloud Security Management.
En el menú de la izquierda, selecciona Task Definitions (Definiciones de tarea) y, a continuación, selecciona Create new Task Definition with JSON (Crear nueva definición de tarea con JSON). Como alternativa, selecciona una definición de tarea de Fargate existente.
Para crear una nueva definición de tarea, utiliza la definición JSON o el método de AWS CLI.
Haz clic en Create (Crear) para crear la definición de la tarea.
Nota: La variable de entorno ECS_FARGATE ya está configurada en “true”.
Añade tus otros contenedores de aplicaciones a la definición de la tarea. Para obtener más información sobre la recopilación de métricas de integración, consulta Configuración de integración para ECS Fargate.
Ejecuta el siguiente comando para registrar la definición de la tarea de ECS:
Para recopilar datos de tus pods de AWS Fargate, debes ejecutar el Agent como auxiliar de tu pod de aplicación y configurar reglas de control de acceso basado en roles (RBAC).
Si el Agent se ejecuta como auxiliar, solo puede comunicarse con contenedores del mismo pod. Ejecuta un Agent para cada pod que desees monitorizar.
El siguiente manifiesto representa la mínima configuración requerida para desplegar tu aplicación con el Datadog Agent como auxiliar con CSM Threats habilitado:
Cuando activas CSM en AWS Fargate ECS o EKS, el Agent envía un log a Datadog para confirmar que el conjunto de reglas predeterminado se ha desplegado correctamente. Para ver el log, navega a la página Logs en Datadog y busca @agent.rule_id:ruleset_loaded.
También puedes verificar que el Agent está enviando eventos a CSM activando manualmente una señal de seguridad para AWS Fargate.
En la definición de la tarea, sustituye el contenedor de “carga de trabajo” por lo siguiente:
"name": "cws-signal-test","image": "ubuntu:latest","entryPoint": ["/cws-instrumentation-volume/cws-instrumentation","trace","--verbose","--","/usr/bin/bash","-c","apt update;apt install -y curl; while true; do curl https://google.com; sleep 5; done"],
Application Security Management
Requisitos previos
El Datadog Agent se instala y configura para el sistema operativo de tu aplicación o contenedor, entorno en la nube o virtual
Datadog APM está configurado para tu aplicación o servicio
Para obtener información adicional sobre el rendimiento y la fiabilidad, Datadog recomienda habilitar Application Performance Monitoring con Application Security Management.
Instalación
Protección y detección de amenazas
Para obtener instrucciones paso a paso, consulta los siguientes artículos: