Amazon EC2 인스턴스에서 런타임 모니터링이 작동하는 방식

Amazon EC2 인스턴스는 사용자 환경에서 여러 유형의 애플리케이션과 워크로드를 실행할 수 있습니다. AWS 런타임 모니터링을 활성화하고 GuardDuty 보안 에이전트를 관리하면 기존 Amazon EC2 인스턴스와 잠재적으로 새로운 인스턴스에서 위협을 탐지하는 GuardDuty 데 도움이 됩니다. 이 기능은 Amazon ECS에서 관리되는 Amazon EC2 인스턴스도 지원합니다.

런타임 모니터링을 활성화하면 Amazon EC2 인스턴스 내에서 현재 실행 중인 프로세스와 새 프로세스의 런타임 이벤트를 GuardDuty 사용할 준비가 됩니다. GuardDuty EC2 인스턴스에서 로 런타임 이벤트를 보내려면 보안 에이전트가 필요합니다. GuardDuty

Amazon EC2 인스턴스의 경우 GuardDuty 보안 에이전트는 인스턴스 수준에서 작동합니다. 계정의 Amazon EC2 인스턴스를 모두 모니터링할지 아니면 일부만 모니터링할지 결정할 수 있습니다. 선택적 인스턴스를 관리하려는 경우 이러한 인스턴스에만 보안 에이전트가 필요합니다.

GuardDuty 또한 Amazon ECS 클러스터 내 Amazon EC2 인스턴스에서 실행 중인 새 작업 및 기존 작업의 런타임 이벤트를 사용할 수 있습니다.

GuardDuty 보안 에이전트를 설치하기 위해 런타임 모니터링은 다음 두 가지 옵션을 제공합니다.

• 자동 에이전트 구성 사용 (권장), 또는

• 보안 에이전트를 수동으로 관리합니다.

다음을 통한 자동 에이전트 구성 사용 GuardDuty (권장)

사용자를 GuardDuty 대신하여 Amazon EC2 인스턴스에 보안 에이전트를 설치할 수 있는 자동 에이전트 구성을 사용하십시오. GuardDuty 또한 보안 에이전트에 대한 업데이트도 관리합니다.

기본적으로 계정의 모든 인스턴스에 보안 에이전트를 GuardDuty 설치합니다. 일부 EC2 인스턴스에만 보안 에이전트를 설치하고 관리하려면 필요에 따라 EC2 인스턴스에 포함 또는 제외 태그를 추가하십시오. GuardDuty

계정에 속한 모든 Amazon EC2 인스턴스의 런타임 이벤트를 모니터링하고 싶지 않은 경우도 있습니다. 제한된 수의 인스턴스에 대한 런타임 이벤트를 모니터링하려는 경우 선택한 인스턴스에 GuardDutyManaged 다음과 true 같은 포함 태그를 추가하십시오. Amazon EC2용 자동 에이전트 구성을 사용할 수 있게 되면서, EC2 인스턴스에 포함 태그 (GuardDutyManaged:true) 가 있으면 자동 에이전트 구성을 명시적으로 활성화하지 않아도 해당 태그를 적용하고 선택한 인스턴스의 보안 에이전트를 관리합니다. GuardDuty

반면, 런타임 이벤트를 모니터링하고 싶지 않은 EC2 인스턴스의 수가 제한되어 있는 경우에는 선택한 인스턴스에 제외 태그 (:) GuardDutyManaged 를 추가하십시오. false GuardDuty 이러한 EC2 리소스에 대한 보안 에이전트를 설치하거나 관리하지 않음으로써 제외 태그를 준수합니다.

영향

한 조직 AWS 계정 또는 조직에서 자동 에이전트 구성을 사용하는 경우 사용자를 GuardDuty 대신하여 다음 단계를 수행할 수 있습니다.

• GuardDuty SSM으로 관리되고 https://console.aws.amazon.com/systems-manager/ 콘솔의 플릿 관리자 아래에 나타나는 모든 Amazon EC2 인스턴스에 대해 하나의 SSM 연결을 생성합니다.

• 자동 에이전트 구성이 비활성화된 상태에서 포함 태그 사용 — 런타임 모니터링을 활성화한 후 자동 에이전트 구성을 활성화하지 않고 Amazon EC2 인스턴스에 포함 태그를 추가하면 사용자를 대신하여 보안 에이전트를 관리할 수 있게 됩니다 GuardDuty . 그러면 SSM 연결이 포함 태그 (:) 가 있는 각 인스턴스에 보안 에이전트를 설치합니다. GuardDutyManaged true

• 자동 에이전트 구성을 활성화하면 SSM 연결이 계정에 속한 모든 EC2 인스턴스에 보안 에이전트를 설치합니다.

• 자동 에이전트 구성과 함께 제외 태그 사용 — 자동 에이전트 구성을 활성화하기 전에 Amazon EC2 인스턴스에 제외 태그를 추가하면 선택한 이 인스턴스에 대한 보안 에이전트의 설치 및 관리를 금지할 수 있음을 의미합니다. GuardDuty

  이제 자동 에이전트 구성을 활성화하면 SSM 협회는 제외 태그가 지정된 인스턴스를 제외한 모든 EC2 인스턴스에 보안 에이전트를 설치하고 관리합니다.

• GuardDuty 공유 VPC를 포함한 모든 VPC에 VPC 엔드포인트를 생성합니다. 단, 해당 VPC에 종료되거나 종료된 인스턴스 상태에 있지 않은 Linux EC2 인스턴스가 하나 이상 있어야 합니다. 다양한 인스턴스 상태에 대한 자세한 내용은 Amazon EC2 사용 설명서의 인스턴스 수명 주기를 참조하십시오.

  GuardDuty 또한 지원합니다자동화된 보안 에이전트와 공유 VPC 사용. 조직의 모든 사전 요구 사항을 고려한 경우 공유 VPC를 사용하여 런타임 이벤트를 수신합니다. AWS 계정 GuardDuty

  참고

  VPC 엔드포인트 사용에 대한 추가 비용은 없습니다.

보안 에이전트를 수동으로 관리합니다.

Amazon EC2의 보안 에이전트를 수동으로 관리하는 두 가지 방법이 있습니다.

• 에서 GuardDuty 관리 문서를 사용하여 이미 AWS Systems Manager SSM으로 관리되는 Amazon EC2 인스턴스에 보안 에이전트를 설치할 수 있습니다.

  새 Amazon EC2 인스턴스를 시작할 때마다 SSM이 활성화되어 있는지 확인하십시오.

• RPM 패키지 관리자 (RPM) 스크립트를 사용하여 Amazon EC2 인스턴스가 SSM으로 관리되는지 여부에 관계없이 Amazon EC2 인스턴스에 보안 에이전트를 설치할 수 있습니다.

다음 단계

Amazon EC2 인스턴스 모니터링을 위한 런타임 모니터링 구성을 시작하려면 을 참조하십시오. Amazon EC2 인스턴스 지원을 위한 사전 요구 사항