Trend Micro Cloud One Conformity oferece suporte ao Amazon ECS Exec

A construção em containers oferece benefícios incríveis para as equipes de desenvolvimento: velocidade, agilidade, flexibilidade, escalabilidade etc. Mas apesar dos cases de sucesso, gerenciar containers em escala pode ser difícil e até impraticável para algumas equipes de infraestrutura.

Felizmente, o AWS Fargate – mecanismo de computação sem servidor para containers – retira a carga de orquestração das equipes de infraestrutura, com a vantagem de trabalhar tanto com o Amazon Elastic Container Service (ECS) quanto com o Amazon Elastic Kubernetes Service (EKS).

Mas e se você precisar fazer algo em um container em execução em Fargate? Agora o AWS tem a resposta para essa necessidade com o lançamento do Amazon ECS Exec. O AWS criou uma maneira simples para que os clientes do Amazon ECS executem os comandos em containers que esteja rodando em instâncias do Amazon EC2 ou do AWS Fargate.

O Amazon ECS Exec permite a interação com processos em containers, depuração e resolução de problemas, além da coleta de informações de diagnóstico de um container, mesmo que sua equipe não esteja gerenciando a infraestrutura.

Essa é uma ferramenta superpoderosa e você sabe o que dizem: “Com grandes poderes vêm grandes responsabilidades.” É aí que a Trend Micro entra para ajudar a aliviar esse fardo de responsabilidade. As novas regras do Cloud One – Conformity oferecem governança e supervisão adicionais para auxiliar os clientes no gerenciamento desse recurso.

Com o lançamento, o Cloud One – Conformity adicionou o SSM Session Length, garantindo que qualquer sessão que utilize o recurso não permaneça ativa por um período maior do que o definido nas regras de configuração. Se uma sessão for deixada inativa, ela vai expirar ou fazer o log off, sem causar preocupações. Mas se a ferramenta for usada por muito tempo pode ser um sinal de atividade suspeita.

Por exemplo, você pode executar um comando que empacota um monte de logs e os enviar para outro lugar, então você deixa o Amazon ECS Exec e vai olhar os registros. A maioria dos casos endereçados por essa funcionalidade é bastante rápida. Se uma sessão ficar ativa por horas, provavelmente ela está sendo usada de uma forma que não foi planejada.

Além disso, em breve estará disponível uma segunda regra do Cloud One – Conformity que é o Approved Execute Command Access. Isso garantirá que todo acesso ao ECS Exec seja aprovado com base no IAM (Identify and Access Management), que é a Gestão de Identidades e Acessos. A regra estabelece uma lista de permissões para os pontos de acesso dos recursos: ARN (Amazon Resource Name). Portanto, se algum ARN não estiver na lista de permissões de acesso do ECS Exec, ele vai ser sinalizado no console Cloud One – Conformity.

A forma como as permissões são definidas nos serviços AWS oferece muita flexibilidade, o que pode significar que certos ARNs que não precisam de acesso a essa funcionalidade conseguem acessá-la devido a outras configurações de autorização.

Um dos desenvolvedores do Cloud One – Conformity que trabalhou nessas regras disse: “Quando o AWS Session Manager saiu para o Amazon EC2 muitas pessoas tiveram acesso total a instâncias, muito mais do que deveriam, com base em permissões de outro lugar no ambiente do cliente no AWS.”

O AWS é bem construído e seguro. As configurações e permissões de serviço dão às organizações a flexibilidade para gerenciar consentimentos incrivelmente granulares, mas podem criar oportunidades para lacunas entre equipes ou implementações. O Cloud One – Conformity tem mais de 750 regras para garantir que o ambiente AWS seja configurado com segurança e otimizado com o custo-benefício para atender todos os requisitos de conformidade da sua organização.

Serviço
www.trendmicro.com