ランタイムモニタリングと Fargate の連携方法 (Amazon ECSのみ) - Amazon GuardDuty
Amazon ECS-Fargate リソースで GuardDuty セキュリティエージェントを管理する方法

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ランタイムモニタリングと Fargate の連携方法 (Amazon ECSのみ)

Runtime Monitoring を有効にすると、 はタスクからランタイムイベントを使用する準備が整 GuardDuty います。これらのタスクは Amazon ECSクラスター内で実行され、インスタンスで実行されます AWS Fargate 。がこれらのランタイムイベントを受信する GuardDuty には、フルマネージド型の専用セキュリティエージェントを使用する必要があります。

AWS アカウントまたは組織の自動エージェント設定を使用して、 GuardDuty がユーザーに代わって GuardDuty セキュリティエージェントを管理することができます。 GuardDuty は、Amazon ECSクラスターで起動された新しい Fargate タスクにセキュリティエージェントのデプロイを開始します。次のリストは、 GuardDuty セキュリティエージェントを有効にするときに何を期待するかを指定します。

GuardDuty セキュリティエージェントを有効にすることの影響
GuardDuty 仮想プライベートクラウド (VPC) エンドポイントとセキュリティグループを作成する

  • GuardDuty セキュリティエージェントをデプロイすると、 GuardDuty は、セキュリティエージェントがランタイムイベントを に配信するVPCエンドポイントを作成します GuardDuty。

    VPC エンドポイントとともに、 は新しいセキュリティグループ GuardDuty も作成します。インバウンド (進入) ルールは、セキュリティグループに関連付けられているリソースへの到達が許可されているトラフィックを制御します。 は、リソースVPCCIDRの範囲に一致するインバウンドルール GuardDuty を追加し、CIDR範囲が変更されたときにそれに適応します。詳細については、「Amazon ユーザーガイド」のVPCCIDR「範囲」を参照してください。 VPC

  • 自動エージェントVPCによる一元管理の使用 – リソースタイプに自動エージェント設定を使用する場合 GuardDuty、 GuardDuty はすべての に代わってVPCエンドポイントを作成しますVPCs。これには、一元化された VPCとスポーク が含まれますVPCs。 GuardDuty は、一元化された のVPCエンドポイントの作成のみをサポートしていませんVPC。一元化された のVPC仕組みの詳細については、AWS 「ホワイトペーパー - スケーラブルで安全なマルチVPC AWS ネットワークインフラストラクチャの構築」の「インターフェイスVPCエンドポイント」を参照してください。

  • VPC エンドポイントの使用には追加料金はかかりません。

GuardDuty サイドカーコンテナを追加する

実行を開始する新しい Fargate タスクまたはサービスの場合、 GuardDuty コンテナ (サイドカー) は Amazon ECS Fargate タスク内の各コンテナに自身をアタッチします。 GuardDuty セキュリティエージェントは、アタッチされた GuardDuty コンテナ内で実行されます。これにより GuardDuty 、これらのタスク内で実行されている各コンテナのランタイムイベントを収集できます。

Fargate タスクを開始するときに、 GuardDuty コンテナ (サイドカー) が正常な状態で起動できない場合、ランタイムモニタリングはタスクの実行を妨げないように設計されています。

デフォルトでは、Fargate タスクはイミュータブルです。 GuardDuty は、タスクがすでに実行中の状態である場合、サイドカーをデプロイしません。既に実行中のタスクでコンテナをモニタリングする場合は、タスクを停止して再度開始できます。

Amazon ECS-Fargate リソースで GuardDuty セキュリティエージェントを管理する方法

ランタイムモニタリングでは、アカウント内のすべての Amazon ECSクラスター (アカウントレベル) または選択的クラスター (クラスターレベル) で潜在的なセキュリティ脅威を検出するオプションが用意されています。実行する Amazon ECS Fargate タスクごとに自動エージェント設定を有効にすると、 GuardDuty はそのタスク内のコンテナワークロードごとにサイドカーコンテナを追加します。 GuardDuty セキュリティエージェントはこのサイドカーコンテナにデプロイされます。これは、 GuardDuty が Amazon ECSタスク内のコンテナのランタイム動作を可視化する方法です。

Runtime Monitoring は、 を介してのみ Amazon ECSクラスター (AWS Fargate) のセキュリティエージェントの管理をサポートします GuardDuty。Amazon ECSクラスターでのセキュリティエージェントの手動管理はサポートされていません。

アカウントを設定する前に、Amazon ECSタスクに属するすべてのコンテナのランタイム動作をモニタリングするか、特定のリソースを含めるか除外するかを評価します。次のアプローチを参考にしてください。

すべての Amazon ECSクラスターのモニタリング

このアプローチは、潜在的なセキュリティ脅威をアカウントレベルで検出するのに役立ちます。このアプローチは GuardDuty 、 アカウントに属するすべての Amazon ECSクラスターで潜在的なセキュリティ脅威を検出する場合に使用します。

特定の Amazon ECSクラスターを除外する

このアプローチは GuardDuty 、 AWS 環境内のほとんどの Amazon ECSクラスターで潜在的なセキュリティ脅威を検出し、一部のクラスターを除外する場合に使用します。このアプローチは、Amazon ECSタスク内のコンテナのランタイム動作をクラスターレベルでモニタリングするのに役立ちます。例えば、アカウントに属する Amazon ECSクラスターの数は 1000 です。ただし、モニタリングする Amazon ECSクラスターは 930 個のみです。

このアプローチでは、モニタリングしない Amazon ECSクラスターに事前定義された GuardDuty タグを追加する必要があります。詳細については、「Fargate の自動セキュリティエージェントの管理 (Amazon ECSのみ)」を参照してください。

特定の Amazon ECSクラスターを含める

Amazon ECSクラスターの一部で潜在的なセキュリティ脅威 GuardDuty を検出する場合は、このアプローチを使用します。このアプローチは、Amazon ECSタスク内のコンテナのランタイム動作をクラスターレベルでモニタリングするのに役立ちます。例えば、アカウントに属する Amazon ECSクラスターの数は 1000 です。ただし、監視したいクラスターは 230 個だけです。

このアプローチでは、モニタリングする Amazon ECSクラスターに事前定義された GuardDuty タグを追加する必要があります。詳細については、「Fargate の自動セキュリティエージェントの管理 (Amazon ECSのみ)」を参照してください。