기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Fargate (AmazonECS만 해당) 지원에 대한 사전 조건
이 섹션에는 Fargate-Amazon ECS 리소스의 런타임 동작을 모니터링하기 위한 사전 조건이 포함되어 있습니다. 이러한 사전 요구 사항이 충족되면 GuardDuty 런타임 모니터링 활성화을 참조하세요.
아키텍처 요구 사항 검증
사용하는 플랫폼은 GuardDuty 보안 에이전트가 Amazon ECS 클러스터에서 런타임 이벤트를 GuardDuty 수신하는 데를 지원하는 방식에 영향을 미칠 수 있습니다. 확인된 플랫폼 중 하나를 사용하고 있는지 검증해야 합니다.
- 초기 고려 사항:
-
Amazon ECS 클러스터의 AWS Fargate 플랫폼은 Linux여야 합니다. 해당 플랫폼 버전은
1.4.0, 또는LATEST이상이어야 합니다. 플랫폼 버전에 대한 자세한 내용은 Amazon Elastic 컨테이너 서비스 개발자 가이드에서 Linux 플랫폼 버전을 참조하세요.Windows 플랫폼 버전은 아직 지원되지 않습니다.
검증된 플랫폼
OS 배포 및 CPU 아키텍처는 보안 에이전트가 제공하는 지원에 GuardDuty 영향을 미칩니다. 다음 표에는 보안 에이전트를 배포하고 런타임 모니터링을 구성하기 위해 확인된 구성이 GuardDuty 나와 있습니다.
| OS 배포판1 | 커널 지원 | CPU 아키텍처 | |
|---|---|---|---|
| x64(AMD64) | Graviton(ARM64) | ||
| Linux | eBPF, Tracepoints, Kprobe | 지원 | 지원 |
1다양한 운영 체제에 대한 지원 -는 앞의 표에 나열된 운영 체제에서 런타임 모니터링 사용에 대한 지원을 확인 GuardDuty 했습니다. 다른 운영 체제를 사용하고 보안 에이전트를 성공적으로 설치할 수 있는 경우 나열된 OS 배포와 함께를 제공하는 것으로 GuardDuty 확인된 모든 예상 보안 값을 얻을 수 있습니다.
ECR 권한 및 서브넷 세부 정보 제공
런타임 모니터링을 활성화하기 전에 다음 세부 정보를 제공해야 합니다.
- 작업 실행 역할에 권한을 제공합니다.
-
작업 실행 역할에는 특정 Amazon Elastic Container Registry(Amazon ECR) 권한이 있어야 합니다. 관리mazonECSTaskExecutionRolePolicy형 정책을 사용하거나
TaskExecutionRole정책에 다음 권한을 추가할 수 있습니다.... "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", ...Amazon ECR 권한을 추가로 제한하려면 GuardDuty 보안 에이전트를 호스팅URI하는 Amazon ECR리포지토리를 추가할 수 있습니다 AWS Fargate (AmazonECS만 해당). 자세한 내용은 의 GuardDuty AWS Fargate 에이전트 리포지토리(AmazonECS만 해당) 단원을 참조하십시오.
- 작업 정의에 서브넷 세부 정보 제공
-
작업 정의에 퍼블릭 서브넷을 입력으로 제공하거나 Amazon ECR VPC 엔드포인트를 생성할 수 있습니다.
-
작업 정의 옵션 사용 - Amazon Elastic Container Service API 참조UpdateServiceAPIs에서 CreateService 및를 실행하려면 서브넷 정보를 전달해야 합니다. 자세한 내용은 Amazon Elastic Container Service 개발자 안내서의 Amazon ECS 작업 정의를 참조하세요.
-
Amazon ECR VPC 엔드포인트 옵션 사용 - Amazon에 네트워크 경로 제공 ECR - GuardDuty 보안 에이전트를 호스팅URI하는 Amazon ECR리포지토리가 네트워크에 액세스할 수 있는지 확인합니다. Fargate 작업이 프라이빗 서브넷에서 실행되는 경우 Fargate는 GuardDuty 컨테이너를 다운로드하기 위해 네트워크 경로가 필요합니다.
Fargate가 GuardDuty 컨테이너를 다운로드하도록 설정하는 방법에 대한 자세한 내용은 Amazon Elastic Container Registry 사용 설명서의 Amazon ECR 이미지 사용을 ECS 참조하세요.
-
조직 서비스 제어 정책 검증
이 단계는가 런타임 모니터링을 지원하고 다양한 리소스 유형에 대한 적용 범위를 평가하는 GuardDuty 데 필요합니다.
조직의 권한을 관리하기 위해 서비스 제어 정책(SCP)을 설정한 경우 TaskExecutionRole 및 해당 정책guardduty:SendSecurityTelemetry에서 권한 경계가 제한되지 않는지 확인합니다.
다음 정책은 guardduty:SendSecurityTelemetry 정책을 허용하는 예제입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ ..., ..., "guardduty:SendSecurityTelemetry" ], "Resource": "*" } ] }
-
다음 단계를 사용하여 권한 경계가
guardduty:SendSecurityTelemetry를 제한하지 않는지 확인합니다.에 로그인 AWS Management Console 하고에서 IAM 콘솔을 엽니다https://console.aws.amazon.com/iam/
. -
탐색 창의 액세스 관리에서 역할을 선택합니다.
-
세부 정보 페이지의 역할 이름을 선택합니다.
-
권한 경계 섹션을 확장합니다.
guardduty:SendSecurityTelemetry이 거부되거나 제한되지 않는지 확인합니다.
-
다음 단계를 사용하여
TaskExecutionRole정책의 권한 경계가guardduty:SendSecurityTelemetry를 제한하지 않는지 확인합니다.에 로그인 AWS Management Console 하고에서 IAM 콘솔을 엽니다https://console.aws.amazon.com/iam/
. -
탐색 창의 액세스 관리에서 정책을 선택합니다.
-
세부 정보 페이지의 정책 이름을 선택합니다.
-
연결된 엔터티 탭에서 권한 경계로 연결 섹션을 봅니다.
guardduty:SendSecurityTelemetry이 거부되거나 제한되지 않는지 확인합니다.
정책 및 권한에 대한 자세한 내용은 IAM 사용 설명서의 권한 경계를 참조하세요.
멤버 계정인 경우 연결된 위임된 관리자와 연결합니다. 조직의 관리에 SCPs 대한 자세한 내용은 서비스 제어 정책(SCPs)을 참조하세요.
CPU 및 메모리 제한
Fargate 작업 정의에서 작업 수준에서 CPU 및 메모리 값을 지정해야 합니다. 다음 표에는 작업 수준 CPU 및 메모리 값의 유효한 조합과 GuardDuty 컨테이너에 대한 해당 GuardDuty 보안 에이전트 최대 메모리 한도가 나와 있습니다.
| CPU 값 | 메모리 값 | GuardDuty 에이전트 최대 메모리 제한 |
|---|---|---|
256(.25 vCPU) |
512 MiB, 1 GB, 2GB |
128MB |
512(.5 vCPU) |
1GB, 2GB, 3GB, 4GB |
|
1024(1 vCPU) |
2GB, 3GB, 4GB |
|
5GB, 6GB, 7GB, 8GB |
||
2048(2 vCPU) |
4~16GB(1GB 증분) |
|
4096(4 vCPU) |
8~20GB(1GB 증분) |
|
8192(8vCPU) |
16~28GB(4GB 증분) |
256MB |
32~60GB(4GB 증분) |
512MB |
|
16384(16 vCPU) |
32~120GB(8GB 증분) |
1GB |
런타임 모니터링을 활성화하고 클러스터의 적용 범위 상태가 정상인 것으로 평가한 후 컨테이너 인사이트 지표를 설정하고 볼 수 있습니다. 자세한 설명은 Amazon ECS 클러스터에서 모니터링 설정 섹션을 참조하십시오.
다음 단계는 런타임 모니터링을 구성하고 보안 에이전트도 구성하는 것입니다.
