Fargate での Runtime Monitoring の仕組み (Amazon ECS のみ) - Amazon GuardDuty
Amazon ECS-Fargate リソースで GuardDuty セキュリティエージェントを管理するためのアプローチ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Fargate での Runtime Monitoring の仕組み (Amazon ECS のみ)

Runtime Monitoring を有効にすると、GuardDuty はタスクからのランタイムイベントを使用する準備が整います。これらのタスクは Amazon ECS クラスター内で実行され、 AWS Fargate インスタンスで実行されます。GuardDuty がこれらのランタイムイベントを受信するには、フルマネージド型の専用セキュリティエージェントを使用する必要があります。

AWS アカウントまたは組織の自動エージェント設定を使用して、GuardDuty がユーザーに代わって GuardDuty セキュリティエージェントを管理することを許可できます。GuardDuty は、Amazon ECS クラスターで起動される新しい Fargate タスクへのセキュリティエージェントのデプロイを開始します。次のリストは、GuardDuty セキュリティエージェントを有効にする場合の動作を示しています。

GuardDuty セキュリティエージェントを有効にした場合の影響
GuardDuty は仮想プライベートクラウド (VPC) エンドポイントとセキュリティグループを作成します

  • GuardDuty セキュリティエージェントをデプロイすると、GuardDuty は VPC エンドポイントを作成します。このエンドポイントを通じて、セキュリティエージェントがランタイムイベントを GuardDuty に配信します。

    VPC エンドポイントと共に、GuardDuty は新しいセキュリティグループも作成します。インバウンド (Ingress) ルールは、セキュリティグループに関連付けられたリソースに到達することが許可されたトラフィックを制御します。GuardDuty は、リソースの VPC CIDR 範囲に一致するインバウンドルールを追加し、CIDR 範囲が変更されたときにそれに適応します。詳細については、「Amazon VPC ユーザーガイド」の「VPC CIDR range」を参照してください。

  • 自動エージェントによる一元化された VPC の使用 – リソースタイプに GuardDuty 自動エージェント設定を使用する場合、GuardDuty はすべての VPC に対してユーザーに代わって VPC エンドポイントを作成します。これには、一元化された VPC とスポーク VPC が含まれます。GuardDuty は、一元化された VPC のみの VPC エンドポイントの作成をサポートしていません。一元化された VPC の仕組みの詳細については、ホワイトペーパーの「インターフェイス VPC エンドポイント - スケーラブルで安全なマルチ VPC ネットワークインフラストラクチャの構築」を参照してください。 AWS AWS

  • VPC エンドポイントの使用に追加コストはかかりません。

GuardDuty はサイドカーコンテナを追加します

新しい Fargate タスクまたはサービスが実行を開始すると、GuardDuty コンテナ (サイドカー) が Amazon ECS Fargate タスク内の各コンテナに接続されます。GuardDuty セキュリティエージェントは、接続されている GuardDuty コンテナ内で実行されます。これにより、GuardDuty は、これらのタスク内で実行されている各コンテナのランタイムイベントを収集できます。

Fargate タスクを開始したときに、GuardDuty コンテナ (サイドカー) が正常な状態で起動できない場合でも、Runtime Monitoring はタスクの実行を妨げないように設計されています。

デフォルトでは、Fargate タスクは変更できません。タスクがすでに実行中である場合、GuardDuty はサイドカーをデプロイしません。既に実行中のタスク内のコンテナをモニタリングしたい場合は、タスクを停止して再開できます。

Amazon ECS-Fargate リソースで GuardDuty セキュリティエージェントを管理するためのアプローチ

Runtime Monitoring では、アカウント内のすべての Amazon ECS クラスター (アカウントレベル) または選択的クラスター (クラスターレベル) のいずれかで潜在的なセキュリティ脅威を検出できます。実行する Amazon ECS Fargate タスクごとに自動エージェント設定を有効にすると、GuardDuty はそのタスク内のコンテナワークロードごとにサイドカーコンテナを追加します。GuardDuty セキュリティエージェントがこのサイドカーコンテナにデプロイされます。これが、GuardDuty が Amazon ECS タスク内のコンテナの実行時の動作を可視化する方法です。

Runtime Monitoring は、GuardDuty を介してのみ Amazon ECS クラスター (AWS Fargate) のセキュリティエージェントの管理をサポートします。Amazon ECS クラスターでのセキュリティエージェントの手動管理はサポートされていません。

アカウントを設定する前に、Amazon ECS タスクに属するすべてのコンテナのランタイム動作をモニタリングするか、特定のリソースを含めるか除外するかを評価します。次のアプローチを参考にしてください。

すべての Amazon ECS クラスターをモニタリングする

このアプローチは、潜在的なセキュリティ脅威をアカウントレベルで検出するのに役立ちます。このアプローチは、アカウントに属するすべての Amazon ECS クラスターに対する潜在的なセキュリティ脅威を GuardDuty に検出させる場合に使用します。

特定の Amazon ECS クラスターを除外する

このアプローチは、GuardDuty が AWS 環境内のほとんどの Amazon ECS クラスターの潜在的なセキュリティ脅威を検出し、一部のクラスターを除外する場合に使用します。このアプローチは、Amazon ECS タスク内のコンテナの実行時の動作をクラスターレベルで監視するのに役立ちます。例えば、アカウントに属する Amazon ECS クラスターの数は 1000 個です。ただし、監視したい Amazon ECS クラスターは 930 個だけです。

この方法では、監視したくない Amazon ECS クラスターに定義済みの GuardDuty タグを追加する必要があります。詳細については、「Fargate の自動セキュリティエージェントの管理 (Amazon ECS のみ)」を参照してください。

特定の Amazon ECS クラスターを含める

このアプローチは、一部の Amazon ECS クラスターに対する潜在的なセキュリティ脅威を GuardDuty に検出させる場合に使用します。このアプローチは、Amazon ECS タスク内のコンテナの実行時の動作をクラスターレベルで監視するのに役立ちます。例えば、アカウントに属する Amazon ECS クラスターの数は 1000 個です。ただし、監視したいクラスターは 230 個だけです。

この方法では、監視したい Amazon ECS クラスターに定義済みの GuardDuty タグを追加する必要があります。詳細については、「Fargate の自動セキュリティエージェントの管理 (Amazon ECS のみ)」を参照してください。