런타임 모니터링이 Fargate에서 작동하는 방식(AmazonECS만 해당) - Amazon GuardDuty
Amazon ECS-Fargate 리소스에서 GuardDuty 보안 에이전트를 관리하는 방법

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

런타임 모니터링이 Fargate에서 작동하는 방식(AmazonECS만 해당)

런타임 모니터링을 활성화하면 GuardDuty 가 작업에서 런타임 이벤트를 사용할 준비가 됩니다. 이러한 작업은 Amazon ECS 클러스터 내에서 실행되며, 그러면 AWS Fargate 인스턴스에서 실행됩니다. 가 이러한 런타임 이벤트를 수신 GuardDuty 하려면 완전 관리형 전용 보안 에이전트를 사용해야 합니다.

AWS 계정 또는 조직에 대해 자동 에이전트 구성을 사용하여 GuardDuty 가 사용자를 대신하여 GuardDuty 보안 에이전트를 관리하도록 허용할 수 있습니다. GuardDuty 는 Amazon ECS 클러스터에서 시작된 새 Fargate 작업에 보안 에이전트를 배포하기 시작합니다. 다음 목록은 GuardDuty 보안 에이전트를 활성화할 때 예상되는 사항을 지정합니다.

GuardDuty 보안 에이전트 활성화의 영향
GuardDuty 가상 프라이빗 클라우드(VPC) 엔드포인트 및 보안 그룹을 생성합니다.

  • GuardDuty 보안 에이전트를 배포하면 GuardDuty 는 보안 에이전트가 런타임 이벤트를 전달하는 VPC 엔드포인트를 생성합니다 GuardDuty.

    VPC 엔드포인트와 함께 도 새 보안 그룹을 GuardDuty 생성합니다. 인바운드(수신) 규칙은 보안 그룹과 연결된 리소스에 도달할 수 있는 트래픽을 제어합니다.는 리소스의 VPC CIDR 범위와 일치하는 인바운드 규칙을 GuardDuty 추가하고 CIDR 범위가 변경될 때도 이에 적응합니다. 자세한 내용은 Amazon VPC 사용 설명서VPC CIDR 범위를 참조하세요.

  • 자동화된 에이전트VPC로 중앙 집중식 작업 - 리소스 유형에 대해 자동화된 에이전트 구성을 사용하면 GuardDuty GuardDuty 는 모든에 대해 사용자를 대신하여 VPC 엔드포인트를 생성합니다VPCs. 여기에는 중앙 집중식 VPC 및 스포크가 포함됩니다VPCs. GuardDuty는 중앙 집중식에 대해서만 VPC 엔드포인트 생성을 지원하지 않습니다VPC. 중앙 집중식 VPC 작동 방식에 대한 자세한 내용은 AWS 백서 - 확장 가능하고 안전한 다중 VPC AWS 네트워크 인프라 구축인터페이스 VPC 엔드포인트를 참조하세요.

  • VPC 엔드포인트 사용에 대한 추가 비용은 없습니다.

GuardDuty 사이드카 컨테이너 추가

실행을 시작하는 새 Fargate 태스크 또는 서비스의 경우 GuardDuty 컨테이너(사이드카)가 Amazon ECS Fargate 태스크 내의 각 컨테이너에 연결됩니다. GuardDuty 보안 에이전트는 연결된 GuardDuty 컨테이너 내에서 실행됩니다. 이렇게 하면 이러한 작업 내에서 실행되는 각 컨테이너의 런타임 이벤트를 수집하는 GuardDuty 데 도움이 됩니다.

Fargate 작업을 시작할 때 GuardDuty 컨테이너(사이드카)가 정상 상태에서 시작할 수 없는 경우 런타임 모니터링은 작업이 실행되지 않도록 설계되었습니다.

기본적으로 Fargate 작업은 변경할 수 없습니다.는 작업이 이미 실행 중 상태일 때 사이드카를 배포 GuardDuty 하지 않습니다. 이미 실행 중인 작업에서 컨테이너를 모니터링하려면 작업을 중지하고 다시 시작할 수 있습니다.

Amazon ECS-Fargate 리소스에서 GuardDuty 보안 에이전트를 관리하는 방법

런타임 모니터링은 계정의 모든 Amazon ECS 클러스터(계정 수준) 또는 선택적 클러스터(클러스터 수준)에서 잠재적 보안 위협을 탐지하는 옵션을 제공합니다. 실행할 각 Amazon ECS Fargate 작업에 대해 자동 에이전트 구성을 활성화하면 GuardDuty 는 해당 작업 내의 각 컨테이너 워크로드에 사이드카 컨테이너를 추가합니다. GuardDuty 보안 에이전트가이 사이드카 컨테이너에 배포됩니다. 이렇게 하면 GuardDuty 가 Amazon ECS 작업 내 컨테이너의 런타임 동작을 파악할 수 있습니다.

런타임 모니터링은를 통해서만 Amazon ECS 클러스터(AWS Fargate)의 보안 에이전트 관리를 지원합니다 GuardDuty. Amazon ECS 클러스터에서 보안 에이전트를 수동으로 관리하는 것은 지원되지 않습니다.

계정을 구성하기 전에 Amazon ECS 작업에 속하는 모든 컨테이너의 런타임 동작을 모니터링할지 또는 특정 리소스를 포함하거나 제외할지 평가합니다. 다음 접근 방식을 고려합니다.

모든 Amazon ECS 클러스터 모니터링

이 접근 방식은 계정 수준에서 잠재적 보안 위협을 탐지하는 데 도움이 됩니다. 계정에 속한 모든 Amazon ECS 클러스터에 대한 잠재적 보안 위협을 탐지 GuardDuty 하려면이 접근 방식을 사용합니다.

특정 Amazon ECS 클러스터 제외

AWS 환경의 대부분의 Amazon ECS 클러스터에 대한 잠재적 보안 위협을 탐지 GuardDuty 하고 일부 클러스터를 제외하려는 경우이 접근 방식을 사용합니다. 이 접근 방식은 클러스터 수준에서 Amazon ECS 작업 내 컨테이너의 런타임 동작을 모니터링하는 데 도움이 됩니다. 예를 들어 계정에 속한 Amazon ECS 클러스터 수는 1000개입니다. 하지만 Amazon ECS 클러스터는 930개만 모니터링하려고 합니다.

이 접근 방식을 사용하려면 모니터링하지 않으려는 Amazon ECS 클러스터에 사전 정의된 GuardDuty 태그를 추가해야 합니다. 자세한 내용은 Fargate용 자동 보안 에이전트 관리(AmazonECS만 해당) 단원을 참조하십시오.

특정 Amazon ECS 클러스터 포함

일부 Amazon ECS 클러스터에 대한 잠재적 보안 위협을 탐지 GuardDuty 하려면이 접근 방식을 사용합니다. 이 접근 방식은 클러스터 수준에서 Amazon ECS 작업 내 컨테이너의 런타임 동작을 모니터링하는 데 도움이 됩니다. 예를 들어 계정에 속한 Amazon ECS 클러스터 수는 1000개입니다. 하지만 클러스터 230개만 모니터링하려고 합니다.

이 접근 방식을 사용하려면 모니터링하려는 Amazon ECS 클러스터에 사전 정의된 GuardDuty 태그를 추가해야 합니다. 자세한 내용은 Fargate용 자동 보안 에이전트 관리(AmazonECS만 해당) 단원을 참조하십시오.