threatstack/ts-hostless

Threat Stack AWS Fargate容器安全监控镜像

镜像概述

Threat Stack Container Security Monitoring for AWS Fargate是一款针对AWS Fargate环境的容器安全监控解决方案。该镜像提供的Threat Stack Fargate Agent以sidecar模式运行，需集成到Amazon ECS的Fargate任务定义中，旨在扩展用户对整个云安全栈的可见性，实现对Fargate运行时环境的实时安全监控。

核心功能与特性

核心监控能力

• 容器内进程活动监控：实时追踪Fargate容器内部的进程启动、运行及终止等活动，识别异常进程行为
• 网络流数据监控：捕获并分析Fargate任务内部及与外部之间的网络流量，包括流量方向、协议及连接信息

关键特性

• sidecar部署模式：作为独立sidecar容器运行，无需修改业务容器镜像
• ECS任务定义集成：直接作为任务定义的一部分配置，与Fargate任务生命周期同步
• 轻量级设计：对Fargate资源占用低，不影响业务容器性能

使用场景与适用范围

适用场景

• AWS Fargate容器化应用的运行时安全监控
• 云原生环境下的容器进程行为审计
• 微服务架构中跨任务网络流量分析
• 满足合规性要求的容器环境安全日志采集

适用用户

• 使用AWS Fargate部署容器应用的企业IT团队
• 云安全运维人员
• 需要满足容器安全合规要求的组织
• 负责微服务架构安全监控的DevSecOps团队

使用方法与配置说明

前置要求

• 已创建AWS ECS集群及Fargate任务定义
• 拥有Threat Stack账户及API凭证
• 确保Fargate任务具有必要的网络访问权限（允许与Threat Stack服务通信）

任务定义配置

需在Fargate任务定义中添加Threat Stack Fargate Agent作为sidecar容器。以下为任务定义JSON示例片段：

json
{
  "containerDefinitions": [
    {
      "name": "your-application-container",
      "image": "your-app-image:latest",
      // 业务容器配置...
    },
    {
      "name": "threatstack-fargate-agent",
      "image": "threatstack/fargate-agent:latest",
      "essential": true,
      "environment": [
        { "name": "THREATSTACK_API_KEY", "value": "your-api-key" },
        { "name": "THREATSTACK_ORGANIZATION_ID", "value": "your-org-id" }
      ],
      "logConfiguration": {
        "logDriver": "awslogs",
        "options": {
          "awslogs-group": "/ecs/threatstack-agent",
          "awslogs-region": "us-east-1",
          "awslogs-stream-prefix": "ecs"
        }
      }
    }
  ],
  // 其他任务定义配置...
}

环境变量说明

部署验证

部署任务后，可通过以下方式验证Agent运行状态：

1. 查看ECS任务日志：通过CloudWatch Logs查看Threat Stack Agent容器日志
2. 登录Threat Stack控制台：检查是否成功接收来自Fargate任务的监控数据

注意事项

• 确保Fargate任务分配足够的CPU和内存资源给Agent容器（建议至少0.25 vCPU和512MB内存）
• 网络策略需允许Agent容器与Threat Stack服务端点通信（具体端点可参考Threat Stack官方文档）
• 定期更新Agent镜像以获取最新安全功能和漏洞修复