【问题标题】:OSSEC HIDS on AWS ECSAWS ECS 上的 OSSEC HIDS
【发布时间】:2020-07-28 09:33:31
【问题描述】:

问题更多是关于架构的选择,而不是编码本身。我将我的应用程序部署在 AWS ECS(由运行容器的 ec2 实例组成的集群)上。如何在该设置中安装 OSSEC HIDS?作为每个应用容器的辅助容器还是应该以某种方式集中?

感谢您的任何提示。

【问题讨论】:

    标签: amazon-web-services docker ossec


    【解决方案1】:

    经验法则“每个容器一个进程”,您不应在 docker 容器中安装任何代理。

    您可以采用两种方法

    • ECS optimized AMI 上安装 OSSEC HIDS 代理,该代理将在运行容器的 EC2 主机上运行,​​您的 ESC 集群将为所有未来的容器使用此 AMI。
    • 或者将 ECS 日志推送到 Cloud Watch 并使用 Cloud Watch 和 ELK 放置 OSSEC HIDS。

    对于 ECS 优化的 AMI,创建自定义 AMI 并在其余过程中配置代理将与标准 EC2 机器相同。

    how-to-monitor-host-based-intrusion-detection-system-alerts-on-amazon-ec2-instances

    【讨论】:

    • 感谢您的回答。现在我想我需要这个流程的一部分:向 CloudWatch 报告 ECS EC2 机器问题(不需要整个 ELK 堆栈)。据我了解,我需要构建基于 EC2 的自定义 AMI,其中安装的 OSSEC HIDS 管理器会将一些问题发送到 CloudWatch?
    • 是的,EC2 AMI 应该是自定义的,但 AMI 应该基于 ECS 优化的 AMI,其中还包含 ECS 代理和其他 docker 优化
    • 安装在这个自定义 AMI 上的 OSSEC HiDS 如何连接到 CloudWatch?
    猜你喜欢
    • 2021-06-08
    • 2019-07-31
    • 2021-07-28
    • 1970-01-01
    • 1970-01-01
    • 2022-11-10
    • 1970-01-01
    • 1970-01-01
    • 2019-07-29
    相关资源
    最近更新 更多