ランタイムモニタリングが Amazon EKSクラスターと連携する方法 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ランタイムモニタリングが Amazon EKSクラスターと連携する方法

Runtime Monitoring は、 GuardDuty セキュリティエージェントとも呼ばれるEKSアドオン aws-guardduty-agentを使用します。セキュリティエージェントがEKSクラスターにデプロイされると GuardDuty、 GuardDuty はこれらのEKSクラスターのランタイムイベントを受信できます。

GuardDuty は、Amazon EC2 instances でのみ実行される Amazon EKSクラスターをサポートします。 GuardDuty では、 で実行される Amazon EKSクラスターはサポートされていません AWS Fargate。

Amazon EKSクラスターのランタイムイベントは、アカウントまたはクラスターレベルでモニタリングできます。セキュリティ GuardDuty エージェントは、脅威の検出をモニタリングする Amazon EKSクラスターに対してのみ管理できます。自動エージェント設定を使用して、 GuardDuty セキュリティエージェントを手動で管理することも、ユーザーに代わって GuardDuty が管理できるようにすることもできます。

自動エージェント設定アプローチを使用して、 GuardDuty がユーザーに代わってセキュリティエージェントのデプロイを管理すると、Amazon Virtual Private Cloud (Amazon VPC) エンドポイント が自動的に作成されます。セキュリティエージェントは、この Amazon VPCエンドポイント GuardDuty を使用してランタイムイベントを に配信します。

VPC エンドポイントとともに、 は新しいセキュリティグループ GuardDuty も作成します。インバウンド (進入) ルールは、セキュリティグループに関連付けられているリソースに到達できるトラフィックを制御します。 は、リソースVPCCIDRの範囲に一致するインバウンドルール GuardDuty を追加し、CIDR範囲が変更されたときにも適応します。詳細については、「Amazon ユーザーガイド」のVPCCIDR「範囲」を参照してください。 VPC

メモ
  • VPC エンドポイントの使用には追加料金はかかりません。

  • 自動エージェントVPCによる一元管理の使用 – リソースタイプに GuardDuty 自動エージェント設定を使用する場合、 GuardDuty はすべての に代わってVPCエンドポイントを作成しますVPCs。これには、一元化された VPCとスポーク が含まれますVPCs。一元化された のVPCエンドポイントの作成のみをサポート GuardDuty していませんVPC。一元化された のVPC仕組みの詳細については、ホワイトペーパーの「インターフェイスVPCエンドポイント - スケーラブルで安全なマルチネットワークインフラストラクチャの構築」を参照してください。 AWS VPC AWS

Amazon EKSクラスターのセキュリティエージェントを管理する GuardDuty方法

2023 年 9 月 13 日より前に、 を設定 GuardDuty して、アカウントレベルでセキュリティエージェントを管理できます。この動作は、デフォルトで が に属するすべてのEKSクラスターのセキュリティエージェント GuardDuty を管理することを示しています AWS アカウント。では、セキュリティエージェント GuardDuty を管理するEKSクラスターの選択に役立つきめ細かな機能 GuardDuty が提供されます。

を選択した場合でも GuardDuty セキュリティエージェントの手動管理、モニタリングするEKSクラスターを選択できます。ただし、エージェントを手動で管理するには、 用の Amazon VPCエンドポイントを作成することが前提条件 AWS アカウント です。

注記

GuardDuty セキュリティエージェントの管理に使用するアプローチに関係なく、EKSランタイムモニタリングは常にアカウントレベルで有効になります。

によるセキュリティエージェントの管理 GuardDuty

GuardDuty は、ユーザーに代わってセキュリティエージェントをデプロイおよび管理します。次のいずれかのアプローチを使用して、アカウントのEKSクラスターをいつでもモニタリングできます。

すべてのEKSクラスターをモニタリングする

アカウント内のすべてのEKSクラスターのセキュリティエージェントを GuardDuty デプロイおよび管理する場合は、このアプローチを使用します。デフォルトでは、 GuardDuty はアカウントで作成された新しい可能性のあるEKSクラスターにもセキュリティエージェントをデプロイします。

このアプローチの使用による影響
  • GuardDuty は、 GuardDuty セキュリティエージェントがランタイムイベントを に配信する Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを作成します GuardDuty。を通じてセキュリティエージェントを管理する場合、Amazon VPCエンドポイントの作成に追加料金はかかりません GuardDuty。

  • ワーカーノードには、アクティブなguardduty-dataVPCエンドポイントへの有効なネットワークパスが必要です。 は、セキュリティエージェントをEKSクラスターに GuardDuty デプロイします。Amazon Elastic Kubernetes Service (Amazon EKS) は、EKSクラスター内のノードへのセキュリティエージェントのデプロイを調整します。

  • IP の可用性に基づいて、 はVPCエンドポイントを作成するサブネット GuardDuty を選択します。高度なネットワークトポロジを使用する場合は、接続が可能であることを検証する必要があります。

選択EKSクラスターを除外する

アカウント内のすべてのEKSクラスターのセキュリティエージェントを管理するが GuardDuty 、選択EKSクラスターを除外する場合は、このアプローチを使用します。このメソッドは、ランタイムイベントを受信したくないEKSクラスターにタグを付けることができるタグベース 1 アプローチを使用します。事前定義されたタグには、キーと値のペアとして GuardDutyManaged-false が必要です。

このアプローチの使用による影響

このアプローチでは、モニタリングから除外するEKSクラスターにタグを追加した後にのみ、 GuardDuty エージェントの自動管理を有効にする必要があります。

そのため、「によるセキュリティエージェントの管理 GuardDuty」の場合の影響がこのアプローチにも適用されます。 GuardDuty エージェントの自動管理を有効にする前にタグを追加すると、 GuardDuty はモニタリングから除外されたEKSクラスターのセキュリティエージェントをデプロイも管理もしません。

考慮事項
  • 自動エージェント設定を有効にする前に、選択EKSクラスターのタグキーと値のペアを GuardDutyManagedfalse として追加する必要があります。追加しない場合、 GuardDuty セキュリティエージェントはタグを使用するまですべてのEKSクラスターにデプロイされます。

  • 信頼できる ID 以外により、タグが変更されないようにする必要があります。

    重要

    サービスコントロールポリシーまたはIAMポリシーを使用して、EKSクラスターのGuardDutyManagedタグの値を変更するためのアクセス許可を管理します。詳細については、AWS Organizations 「 ユーザーガイド」の「サービスコントロールポリシー (SCPs)」またはIAM「 ユーザーガイド」のAWS 「リソースへのアクセスを制御する」を参照してください。

  • モニタリングしたくない新しいEKSクラスターの場合は、このEKSクラスターの作成時に GuardDutyManaged-false キーと値のペアを追加してください。

  • このアプローチには、「すべてのEKSクラスターをモニタリングする」で指定されているものと同じ考慮事項があります。

選択EKSクラスターを含める

このアプローチは GuardDuty 、アカウント内の選択的EKSクラスターに対してのみ、セキュリティエージェントに更新をデプロイおよび管理する場合に使用します。このメソッドは、ランタイムイベントを受信するEKSクラスターにタグを付けることができるタグベース 1 アプローチを使用します。

このアプローチの使用による影響
  • 包含タグを使用すると、 GuardDuty は、キーと値のペアとして GuardDutyManaged-true でタグ付けされた選択的EKSクラスターに対してのみ、セキュリティエージェントを自動的にデプロイおよび管理します。

  • このアプローチを使用した場合も、「すべてのEKSクラスターをモニタリングする」で指定されているものと同じ影響があります。

考慮事項
  • GuardDutyManaged タグの値が に設定されていない場合true、包含タグは期待どおりに機能せず、EKSクラスターのモニタリングに影響する可能性があります。

  • 選択EKSクラスターがモニタリングされていることを確認するには、信頼できる ID による場合を除き、タグが変更されないようにする必要があります。

    重要

    サービスコントロールポリシーまたはIAMポリシーを使用して、EKSクラスターのGuardDutyManagedタグの値を変更するためのアクセス許可を管理します。詳細については、AWS Organizations 「 ユーザーガイド」の「サービスコントロールポリシー (SCPs)」またはIAM「 ユーザーガイド」のAWS 「リソースへのアクセスを制御する」を参照してください。

  • モニタリングしたくない新しいEKSクラスターの場合は、このEKSクラスターの作成時に GuardDutyManaged-false キーと値のペアを追加してください。

  • このアプローチには、「すべてのEKSクラスターをモニタリングする」で指定されているものと同じ考慮事項があります。

1選択的EKSクラスターのタグ付けの詳細については、「Amazon ユーザーガイド」の「Amazon EKSリソースのタグ付け」を参照してください。 EKS

GuardDuty セキュリティエージェントの手動管理

このアプローチは、すべてのEKSクラスターに GuardDuty セキュリティエージェントを手動でデプロイおよび管理する場合に使用します。アカウントでEKSランタイムモニタリングが有効になっていることを確認します。EKS ランタイムモニタリングを有効にしないと、 GuardDutyセキュリティエージェントが期待どおりに動作しない可能性があります。

このアプローチの使用による影響

すべてのアカウントとこの機能 AWS リージョン が利用可能なEKSクラスター内の GuardDuty セキュリティエージェントのデプロイを調整する必要があります。また、 GuardDuty リリース時にエージェントバージョンを更新する必要があります。のエージェントバージョンの詳細についてはEKS、「」を参照してくださいGuardDuty Amazon EKSクラスターのセキュリティエージェント

考慮事項

新しいクラスターとワークロードが継続的にデプロイされる際に、カバレッジギャップをモニタリングして対処しながら、安全なデータフローをサポートする必要があります。