Threat Stack 如何让您轻松监控 AWS Fargate 上的 Amazon EKS

这是由 UI 和 Agent 高级技术产品经理 Amber Bennoui 和 AppSec 工程副总裁 Sabin Thomas 联合撰写的博客文章。

什么是 Fargate？

Fargate 由 AWS 于 2017 年推出，是一种无服务器计算引擎，可部署和运行容器，而无需管理服务器或虚拟机集群。 通过消除管理额外基础设施的需要，Fargate 可帮助 Ops 团队和开发人员专注于他们最擅长的领域，即开发和部署应用代码。 

Fargate 允许您为 AWS、ECS 和 EKS 上的容器配置按需、合适大小的计算容量。 Threat Stack 历来为 Fargate 上的 ECS 提供可见性，但现在很高兴为 Fargate 上的 EKS 引入相同的功能。 Threat Stack 是少数涵盖 EKS 和 ECS 的云安全提供商之一/通过保护您的工作负载并进而寻找恶意进程和网络活动，我们积极防范这些环境中的数据泄露等威胁。 这是因为 Threat Stack 代理能够监控东西和南北网络流，使您能够全面了解 Fargate 环境。 在这篇博客中，我们将全面了解 Threat Stack 为 Fargate EKS 提供的检测。

为什么选择在 AWS Fargate 上使用 Amazon EKS？

如果您正在运行原生 Kubernetes 并希望减轻维护和管理集群所需的一些负担，那么 Fargate 上的 Amazon EKS 是一个绝佳的选择。 Fargate 支持您可能使用的所有常见容器用例，例如机器学习应用或微服务架构应用。 此外，不需要您完全控制的应用非常适合 Fargate，因为您无需配置或管理 EC2 实例即可启动容器。

鉴于在 Fargate 上运行 EKS 可以轻松维护您环境中的 Kubernetes 和底层基础设施，因此对于可能管理多个部门（如 DevOps 和安全部门）的经理来说，这是一个不错的选择。 然而，虽然在 Fargate 上运行 EKS 会导致部分安全负担转移到 AWS 上，但并未完全解决。 这是因为 Fargate 将共享安全责任模型从云的安全转移到云中的安全。

如下所示，AWS 负责保护在 AWS 云中运行 AWS 服务的基础设施。 对于 Fargate EKS，AWS 负责 Kubernetes 控制平面，包括控制平面节点和 etcd 数据库。