Amazon EC2 인스턴스에서 Runtime Monitoring이 작동하는 방식 - Amazon GuardDuty
자동 에이전트 구성 사용(권장)수동으로 보안 에이전트 관리다음 단계

Amazon EC2 인스턴스에서 Runtime Monitoring이 작동하는 방식

Amazon EC2 인스턴스는 AWS 환경에서 여러 유형의 애플리케이션 및 워크로드를 실행할 수 있습니다. 런타임 모니터링을 활성화하고 GuardDuty 보안 에이전트를 관리하면 GuardDuty는 기존 Amazon EC2 인스턴스와 잠재적으로 새로운 인스턴스의 위협을 탐지하는 데 도움이 됩니다. 이 기능은 Amazon ECS 관리형 Amazon EC2 인스턴스도 지원합니다.

런타임 모니터링을 활성화하면 GuardDuty가 Amazon EC2 인스턴스 내에서 현재 실행 중인 및 새 프로세스에서 런타임 이벤트를 사용할 준비가 됩니다. GuardDuty를 사용하려면 보안 에이전트가 EC2 인스턴스에서 GuardDuty 로 런타임 이벤트를 보내야 합니다.

Amazon EC2 인스턴스의 경우 GuardDuty 보안 에이전트는 인스턴스 수준에서 작동합니다. 계정의 Amazon EC2 인스턴스를 모두 모니터링할지 아니면 선택적으로 모니터링할지 결정할 수 있습니다. 선택적 인스턴스를 관리하려는 경우 보안 에이전트는 이러한 인스턴스에만 필요합니다.

GuardDuty는 Amazon ECS 클러스터 내의 Amazon EC2 인스턴스에서 실행되는 새 작업 및 기존 작업에서 런타임 이벤트를 사용할 수도 있습니다.

GuardDuty 보안 에이전트를 설치하기 위해 런타임 모니터링은 다음 두 가지 옵션을 제공합니다.

GuardDuty를 통한 자동 에이전트 구성 사용(권장)

GuardDuty가 사용자를 대신하여 Amazon EC2 인스턴스에 보안 에이전트를 설치할 수 있도록 허용하는 자동 에이전트 구성을 사용합니다. GuardDuty는 보안 에이전트에 대한 업데이트도 관리합니다.

기본적으로 GuardDuty는 계정의 모든 인스턴스에 보안 에이전트를 설치합니다. GuardDuty가 선택한 EC2 인스턴스에 대해서만 보안 에이전트를 설치하고 관리하도록 하려면 필요에 따라 EC2 인스턴스에 포함 또는 제외 태그를 추가합니다.

경우에 따라 계정에 속한 모든 Amazon EC2 인스턴스에 대한 런타임 이벤트를 모니터링하지 않을 수 있습니다. 제한된 수의 인스턴스에 대한 런타임 이벤트를 모니터링하려는 경우 선택한 인스턴스에 포함 태그를 GuardDutyManaged:true로 추가합니다. Amazon EC2에 대한 자동 에이전트 구성의 가용성부터 EC2 인스턴스에 포함 태그(GuardDutyManaged:true)가 있는 경우 GuardDuty는 태그를 적용하고 자동 에이전트 구성을 명시적으로 활성화하지 않은 경우에도 선택한 인스턴스에 대한 보안 에이전트를 관리합니다.

반면 런타임 이벤트를 모니터링하지 않으려는 EC2 인스턴스 수가 제한적인 경우 선택한 인스턴스에 제외 태그(GuardDutyManaged:false)를 추가합니다. GuardDuty는 이러한 EC2 리소스에 대한 보안 에이전트를 설치하거나 관리하지 않음으로써 제외 태그를 존중합니다.

영향

AWS 계정 또는 조직에서 자동 에이전트 구성을 사용하는 경우 GuardDuty가 사용자를 대신하여 다음 단계를 수행하도록 허용합니다.

  • GuardDuty는 SSM이 관리되고 https://console.aws.amazon.com/systems-manager/ 콘솔의 Fleet Manager에 표시되는 모든 Amazon EC2 인스턴스에 대해 하나의 SSM 연결을 생성합니다.

  • 자동 에이전트 구성이 비활성화된 상태에서 포함 태그 사용 - 런타임 모니터링을 활성화한 후 자동 에이전트 구성을 활성화하지 않고 Amazon EC2 인스턴스에 포함 태그를 추가하면 GuardDuty가 사용자를 대신하여 보안 에이전트를 관리하도록 허용하는 것입니다. 그러면 SSM 연결에서 포함 태그(GuardDutyManaged:true)가 있는 각 인스턴스에 보안 에이전트를 설치합니다.

  • 자동 에이전트 구성을 활성화하는 경우 - SSM 연결은 계정에 속한 모든 EC2 인스턴스에 보안 에이전트를 설치합니다.

  • 자동 에이전트 구성에서 제외 태그 사용 - 자동 에이전트 구성을 활성화하기 전에 Amazon EC2 인스턴스에 제외 태그를 추가할 때 GuardDuty가 선택한 인스턴스의 보안 에이전트를 설치하고 관리하는 것을 방지하도록 허용해야 합니다.

    이제 자동 에이전트 구성을 활성화하면 SSM 연결은 제외 태그로 태그가 지정된 인스턴스를 제외한 모든 EC2 인스턴스에 보안 에이전트를 설치하고 관리합니다.

  • GuardDuty는 VPC에 종료 또는 종료 인스턴스 상태가 아닌 Linux EC2 인스턴스가 하나 이상 있는 한 공유 VPCs를 VPCs 포함한 모든 VPC 에서 VPC 엔드포인트를 생성합니다. 여기에는 중앙 집중식 VPC 및 스포크 VPCs 포함됩니다. GuardDuty는 중앙 집중식 VPC에 대해서만 VPC 엔드포인트 생성을 지원하지 않습니다. 중앙 집중식 VPC의 작동 방식에 대한 자세한 내용은 AWS 백서 - 확장 가능하고 안전한 멀티-VPC AWS 네트워크 인프라 구축인터페이스 VPC 엔드포인트를 참조하세요.

    다양한 인스턴스 상태에 대한 자세한 내용은 Amazon EC2 사용 설명서인스턴스 수명 주기를 참조하세요.

    GuardDuty는 자동 보안 에이전트와 공유 VPC 사용도 지원합니다. 조직 및 AWS 계정에 대한 모든 사전 조건이 고려되면 GuardDuty는 공유 VPC를 사용하여 런타임 이벤트를 수신합니다.

    참고

    VPC 엔드포인트 사용에 대한 추가 비용은 없습니다.

  • VPC 엔드포인트와 함께 GuardDuty는 새 보안 그룹도 생성합니다. 인바운드(인그레스) 규칙은 보안 그룹과 연결된 리소스에 도달할 수 있는 트래픽을 제어합니다. GuardDuty는 리소스의 VPC CIDR 범위와 일치하는 인바운드 규칙을 추가하고 CIDR 범위가 변경될 때도 이에 적응합니다. 자세한 내용은 Amazon VPC 사용 설명서에서 VPC CIDR 범위를 참조하세요.

수동으로 보안 에이전트 관리

Amazon EC2의 보안 에이전트를 수동으로 관리하는 방법은 두 가지가 있습니다.

  • AWS Systems Manager에서 GuardDuty 관리형 문서를 사용하여 이미 SSM 관리형인 Amazon EC2 인스턴스에 보안 에이전트를 설치합니다.

    새 Amazon EC2 인스턴스를 시작할 때마다 SSM이 활성화되어 있는지 확인합니다.

  • RPM 패키지 관리자(RPM) 스크립트를 사용하여 SSM 관리 여부와 관계없이 Amazon EC2 인스턴스에 보안 에이전트를 설치합니다.

다음 단계

Amazon EC2 인스턴스를 모니터링하기 위한 런타임 모니터링 구성을 시작하려면 Amazon EC2 인스턴스 지원의 사전 조건을 참조하세요.