Runtime Monitoring と Amazon EKSクラスターの連携方法 - Amazon GuardDuty
Amazon EKSクラスターでセキュリティエージェントを管理する GuardDutyためのアプローチ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Runtime Monitoring と Amazon EKSクラスターの連携方法

Runtime Monitoring は、 GuardDuty セキュリティエージェントとも呼ばれるEKSアドオン aws-guardduty-agentを使用します。セキュリティ GuardDutyエージェントがEKSクラスターにデプロイされると、 GuardDuty はこれらのEKSクラスターのランタイムイベントを受信できます。

メモ

Runtime Monitoring は、Amazon EC2インスタンスと Amazon EKS Auto Mode で実行されている Amazon EKSクラスターをサポートします

Runtime Monitoring は、Amazon Hybrid Nodes を含む Amazon クラスターと、 で実行されているクラスターをサポートしていません AWS Fargate。 EKS EKS

これらの Amazon EKS機能の詳細については、「Amazon ユーザーガイド」の「Amazon EKSとは」を参照してください。 EKS

Amazon EKSクラスターのランタイムイベントは、アカウントレベルまたはクラスターレベルでモニタリングできます。セキュリティ GuardDuty エージェントは、脅威の検出をモニタリングする Amazon EKSクラスターに対してのみ管理できます。 GuardDuty セキュリティエージェントは、手動で管理することも、自動エージェント設定を使用して GuardDuty がユーザーに代わって管理できるようにすることもできます。

自動エージェント設定アプローチを使用して、 GuardDuty がユーザーに代わってセキュリティエージェントのデプロイを管理できるようにすると、Amazon Virtual Private Cloud (Amazon VPC) エンドポイントが自動的に作成されます。セキュリティエージェントは、この Amazon VPCエンドポイントを使用してランタイムイベントを GuardDuty に配信します。

VPC エンドポイントとともに、 は新しいセキュリティグループ GuardDuty も作成します。インバウンド (イングレス) ルールは、セキュリティグループに関連付けられているリソースに到達できるトラフィックを制御します。 は、リソースVPCCIDRの範囲に一致するインバウンドルール GuardDuty を追加し、CIDR範囲が変更されたときにそれにも適応します。詳細については、「Amazon VPCユーザーガイド」のVPCCIDR「範囲」を参照してください。

メモ

  • VPC エンドポイントの使用に追加料金はかかりません。

  • 自動エージェントVPCによる一元化された の使用 – リソースタイプに GuardDuty 自動エージェント設定を使用する場合、 GuardDuty はユーザーに代わってすべての のVPCエンドポイントを作成しますVPCs。これには、一元化された VPCとスポークの が含まれますVPCs。一元化された GuardDuty のVPCエンドポイントの作成はサポートされていませんVPC。一元化された のVPC仕組みの詳細については、ホワイトペーパーの「インターフェイスVPCエンドポイント - スケーラブルで安全なマルチネットワークインフラストラクチャの構築」を参照してください。 AWS VPC AWS

Amazon EKSクラスターでセキュリティエージェントを管理する GuardDutyためのアプローチ

2023 年 9 月 13 日より前は、アカウントレベルでセキュリティエージェントを管理する GuardDuty ように を設定できます。この動作は、デフォルトで が に属するすべてのEKSクラスターでセキュリティエージェント GuardDuty を管理することを示しています AWS アカウント。これで、 は、セキュリティエージェント GuardDuty を管理するEKSクラスターを選択するのに役立つ詳細な機能 GuardDuty を提供します。

を選択した場合でも GuardDuty セキュリティエージェントの手動管理、モニタリングするEKSクラスターを選択できます。ただし、エージェントを手動で管理するには、 の Amazon VPCエンドポイントを作成することが前提条件 AWS アカウント です。

注記

GuardDuty セキュリティエージェントの管理に使用するアプローチにかかわらず、EKSRuntime Monitoring は常にアカウントレベルで有効になります。

を使用してセキュリティエージェントを管理する GuardDuty

GuardDuty は、ユーザーに代わってセキュリティエージェントをデプロイおよび管理します。次のいずれかのアプローチを使用して、アカウントのEKSクラスターをいつでもモニタリングできます。

すべてのEKSクラスターをモニタリングする

このアプローチは GuardDuty 、アカウント内のすべてのEKSクラスターのセキュリティエージェントをデプロイおよび管理する場合に使用します。デフォルトでは、 GuardDuty はアカウントでEKS作成された新しいクラスターにセキュリティエージェントをデプロイします。

このアプローチを使用した場合の影響

  • GuardDuty は、 GuardDuty セキュリティエージェントがランタイムイベントを配信する Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成します GuardDuty。セキュリティエージェントを管理する場合、Amazon VPCエンドポイントの作成に追加料金はかかりません GuardDuty。

  • ワーカーノードには、アクティブなguardduty-dataVPCエンドポイントへの有効なネットワークパスが必要です。 はEKS、クラスターにセキュリティエージェントを GuardDuty デプロイします。Amazon Elastic Kubernetes Service (Amazon EKS) は、EKSクラスター内のノードへのセキュリティエージェントのデプロイを調整します。

  • IP の可用性に基づいて、 はVPCエンドポイントを作成するサブネット GuardDuty を選択します。高度なネットワークトポロジを使用する場合は、接続が可能であることを検証する必要があります。

選択EKSクラスターを除外する

このアプローチは GuardDuty 、アカウント内のすべてのEKSクラスターのセキュリティエージェントを管理し、選択的なEKSクラスターを除外する場合に使用します。この方法では、ランタイムイベントを受信しないEKSクラスターにタグを付けることができる tag-based1 アプローチを使用します。事前定義されたタグには、キーと値のペアとして GuardDutyManaged-false が必要です。

このアプローチを使用した場合の影響

このアプローチでは、モニタリングから除外するEKSクラスターにタグを追加した後にのみ、 GuardDuty エージェントの自動管理を有効にする必要があります。

そのため、「を使用してセキュリティエージェントを管理する GuardDuty」の場合の影響がこのアプローチにも適用されます。 GuardDuty エージェントの自動管理を有効にする前にタグを追加すると、 はモニタリングから除外されたEKSクラスターのセキュリティエージェントをデプロイも管理も GuardDuty しません。

考慮事項

  • 自動エージェント設定を有効にするEKS前に、タグのキーと値のペアを として追加する必要がありますGuardDutyManagedfalseそうしないと、タグを使用するまで GuardDuty セキュリティエージェントがすべてのEKSクラスターにデプロイされます。

  • 信頼できる ID 以外により、タグが変更されないようにする必要があります。

    重要

    サービスコントロールポリシーまたは IAMポリシーを使用して、EKSクラスターのGuardDutyManagedタグの値を変更するためのアクセス許可を管理します。詳細については、「 AWS Organizations ユーザーガイド」の「サービスコントロールポリシー (SCPs)」または「 ユーザーガイド」の「 AWS リソースへのアクセスの制御」を参照してください。 IAM

  • モニタリングEKSしたくない新しいクラスターの場合は、このEKSクラスターの作成時に GuardDutyManaged-false キーと値のペアを追加してください。

  • このアプローチには、「すべてのEKSクラスターをモニタリングする」で指定されているものと同じ考慮事項があります。

選択EKSクラスターを含める

このアプローチは GuardDuty 、アカウント内の選択的なEKSクラスターに対してのみ、セキュリティエージェントへの更新をデプロイおよび管理する場合に使用します。この方法では、ランタイムイベントを受信するEKSクラスターにタグを付けることができる tag-based1 アプローチを使用します。

このアプローチを使用した場合の影響

  • 包含タグを使用することで、 はキーと値のペアとして GuardDutyManaged-true でタグ付けされた選択的なEKSクラスターに対してのみ、セキュリティエージェント GuardDuty を自動的にデプロイおよび管理します。

  • このアプローチを使用した場合も、「すべてのEKSクラスターをモニタリングする」で指定されているものと同じ影響があります。

考慮事項

  • GuardDutyManaged タグの値が に設定されていない場合true、包含タグは期待どおりに機能せず、EKSクラスターのモニタリングに影響する可能性があります。

  • 選択EKSクラスターがモニタリングされていることを確認するには、信頼できる ID を除き、タグが変更されないようにする必要があります。

    重要

    サービスコントロールポリシーまたは IAMポリシーを使用して、EKSクラスターのGuardDutyManagedタグの値を変更するためのアクセス許可を管理します。詳細については、「 AWS Organizations ユーザーガイド」の「サービスコントロールポリシー (SCPs)」または「 ユーザーガイド」の「 AWS リソースへのアクセスの制御」を参照してください。 IAM

  • モニタリングEKSしたくない新しいクラスターの場合は、このEKSクラスターの作成時に GuardDutyManaged-false キーと値のペアを追加してください。

  • このアプローチには、「すべてのEKSクラスターをモニタリングする」で指定されているものと同じ考慮事項があります。

1選択的EKSクラスターのタグ付けの詳細については、「Amazon ユーザーガイド」の「Amazon EKSリソースのタグ付け」を参照してください。 EKS

GuardDuty セキュリティエージェントの手動管理

このアプローチは、すべてのEKSクラスターで GuardDuty セキュリティエージェントを手動でデプロイおよび管理する場合に使用します。アカウントで EKS Runtime Monitoring が有効になっていることを確認します。EKS Runtime Monitoring GuardDutyを有効にしないと、セキュリティエージェントが期待どおりに動作しない場合があります。

このアプローチを使用した場合の影響

この機能が利用可能なすべてのアカウントと AWS リージョン で、EKSクラスター内の GuardDuty セキュリティエージェントのデプロイを調整する必要があります。また、 がエージェントバージョンを GuardDuty リリースするときに、そのバージョンを更新する必要があります。のエージェントバージョンの詳細についてはEKS、「」を参照してくださいGuardDuty Amazon EKSクラスター用の セキュリティエージェント

考慮事項

新しいクラスターやワークロードが継続的にデプロイされるにつれて、カバレッジのギャップをモニタリングして対処しながら、安全なデータフローをサポートする必要があります。