기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
런타임 모니터링을 활성화하면 GuardDuty가 태스크에서 런타임 이벤트를 사용할 준비가 됩니다. 이러한 작업은 Amazon ECS 클러스터 내에서 실행되며, 그러면 AWS Fargate 인스턴스에서 실행됩니다. GuardDuty가 이러한 런타임 이벤트를 수신하려면 완전히 관리되는 전용 보안 에이전트를 사용해야 합니다.
AWS 계정 또는 조직에 자동 에이전트 구성을 사용하여 GuardDuty가 사용자를 대신하여 GuardDuty 보안 에이전트를 관리하도록 허용할 수 있습니다. GuardDuty는 Amazon ECS 클러스터에서 시작된 새 Fargate 작업에 보안 에이전트를 배포하기 시작합니다. 다음 목록은 GuardDuty 보안 에이전트를 활성화할 때 예상되는 사항을 지정합니다.
GuardDuty 보안 에이전트 활성화의 영향
- GuardDuty가 Virtual Private Cloud(VPC) 엔드포인트 및 보안 그룹 생성
-
-
GuardDuty 보안 에이전트를 배포하면 GuardDuty는 보안 에이전트가 GuardDuty 에 런타임 이벤트를 전달하는 VPC 엔드포인트를 생성합니다.
VPC 엔드포인트와 함께 GuardDuty는 새 보안 그룹도 생성합니다. 인바운드(인그레스) 규칙은 보안 그룹과 연결된 리소스에 도달할 수 있는 트래픽을 제어합니다. GuardDuty는 리소스의 VPC CIDR 범위와 일치하는 인바운드 규칙을 추가하고 CIDR 범위가 변경될 때도 이에 적응합니다. 자세한 내용은 Amazon VPC 사용 설명서에서 VPC CIDR 범위를 참조하세요.
-
자동화 에이전트를 사용하여 중앙 집중식 VPC 작업 - 리소스 유형에 GuardDuty 자동화 에이전트 구성을 사용하는 경우 GuardDuty는 모든 VPC에 대해 사용자를 대신하여 VPCs 엔드포인트를 생성합니다. 여기에는 중앙 집중식 VPC 및 스포크 VPCs 포함됩니다. GuardDuty는 중앙 집중식 VPC에 대해서만 VPC 엔드포인트 생성을 지원하지 않습니다. 중앙 집중식 VPC의 작동 방식에 대한 자세한 내용은 백서 - 확장 가능하고 안전한 다중 VPC 네트워크 인프라 구축의 인터페이스 VPC 엔드포인트를 참조하세요. AWS AWS
-
VPC 엔드포인트 사용에 대한 추가 비용은 없습니다.
-
- GuardDuty가 사이드카 컨테이너 추가
-
실행을 시작하는 새 Fargate 태스크 또는 서비스의 경우 GuardDuty 컨테이너(사이드카)가 Amazon ECS Fargate 태스크 내의 각 컨테이너에 연결됩니다. GuardDuty 보안 에이전트는 연결된 GuardDuty 컨테이너 내에서 실행됩니다. 이를 통해 GuardDuty는 이러한 작업 내에서 실행되는 각 컨테이너의 런타임 이벤트를 수집할 수 있습니다.
Fargate 작업을 시작할 때 GuardDuty 컨테이너(사이드카)가 정상 상태에서 시작할 수 없는 경우 런타임 모니터링은 작업이 실행되지 않도록 설계되었습니다.
기본적으로 Fargate 작업은 변경할 수 없습니다. GuardDuty는 작업이 이미 실행 중 상태일 때 사이드카를 배포하지 않습니다. 이미 실행 중인 작업에서 컨테이너를 모니터링하려면 작업을 중지하고 다시 시작할 수 있습니다.
Amazon ECS-Fargate 리소스에서 GuardDuty 보안 에이전트를 관리하는 방법
런타임 모니터링은 계정의 모든 Amazon ECS 클러스터(계정 수준) 또는 선택적 클러스터(클러스터 수준)에서 잠재적 보안 위협을 탐지하는 옵션을 제공합니다. 실행할 각 Amazon ECS Fargate 작업에 대해 자동 에이전트 구성을 활성화하면 GuardDuty는 해당 작업 내의 각 컨테이너 워크로드에 사이드카 컨테이너를 추가합니다. GuardDuty 보안 에이전트가 이 사이드카 컨테이너에 배포됩니다. 이것이 GuardDuty가 Amazon ECS 작업 내 컨테이너의 런타임 동작을 볼 수 있는 방법입니다.
런타임 모니터링은 GuardDuty 를 통해서만 Amazon ECS 클러스터(AWS Fargate)의 보안 에이전트 관리를 지원합니다. Amazon ECS 클러스터에서 보안 에이전트를 수동으로 관리하는 것은 지원되지 않습니다.
계정을 구성하기 전에 Amazon ECS 태스크에 속하는 모든 컨테이너의 런타임 동작을 모니터링할지 또는 특정 리소스를 포함하거나 제외할지 평가합니다. 다음 접근 방식을 고려합니다.
- 모든 Amazon ECS 클러스터 모니터링
-
이 접근 방식은 계정 수준에서 잠재적 보안 위협을 탐지하는 데 도움이 됩니다. GuardDuty가 계정에 속한 모든 Amazon ECS 클러스터에 대한 잠재적 보안 위협을 탐지하도록 하려면 이 접근 방식을 사용합니다.
- 특정 Amazon ECS 클러스터 제외
-
GuardDuty가 사용자 AWS 환경의 대부분의 Amazon ECS 클러스터에 대한 잠재적 보안 위협을 탐지하고 일부 클러스터를 제외하도록 하려면이 접근 방식을 사용합니다. 이 접근 방식을 사용하면 클러스터 수준에서 Amazon ECS 작업 내 컨테이너의 런타임 동작을 모니터링할 수 있습니다. 예를 들어 계정에 속한 Amazon ECS 클러스터 수는 1000개입니다. 하지만 Amazon ECS 클러스터는 930개만 모니터링하려고 합니다.
이 접근 방식을 사용하려면 모니터링하지 않으려는 Amazon ECS 클러스터에 사전 정의된 GuardDuty 태그를 추가해야 합니다. 자세한 내용은 Fargate용 자동 보안 에이전트 관리(Amazon ECS만 해당) 단원을 참조하십시오.
- 특정 Amazon ECS 클러스터 포함
-
GuardDuty가 일부 Amazon ECS 클러스터에 대한 잠재적 보안 위협을 탐지하도록 하려면 이 접근 방식을 사용합니다. 이 접근 방식을 사용하면 클러스터 수준에서 Amazon ECS 작업 내 컨테이너의 런타임 동작을 모니터링할 수 있습니다. 예를 들어 계정에 속한 Amazon ECS 클러스터 수는 1000개입니다. 하지만 클러스터 230개만 모니터링하려고 합니다.
이 접근 방식을 사용하려면 모니터링하려는 Amazon ECS 클러스터에 사전 정의된 GuardDuty 태그를 추가해야 합니다. 자세한 내용은 Fargate용 자동 보안 에이전트 관리(Amazon ECS만 해당) 단원을 참조하십시오.
