Fargate와 런타임 모니터링이 작동하는 방식 (ECSAmazon만 해당)

런타임 모니터링을 활성화하면 작업에서 런타임 이벤트를 사용할 준비가 GuardDuty 됩니다. 이러한 작업은 Amazon ECS 클러스터 내에서 실행되며, Amazon 클러스터는 다시 AWS Fargate (Fargate) 인스턴스에서 실행됩니다. 이러한 런타임 이벤트를 GuardDuty 수신하려면 완전 관리형 전용 보안 에이전트를 사용해야 합니다.

런타임 모니터링은 Amazon ECS 클러스터 (AWS Fargate) 의 보안 에이전트 관리를 통해서만 지원합니다 GuardDuty. Amazon ECS 클러스터에서 보안 에이전트를 수동으로 관리하는 기능은 지원되지 않습니다.

AWS 계정 또는 조직의 자동 에이전트 구성을 사용하여 사용자 대신 GuardDuty 보안 에이전트를 GuardDuty 관리하도록 허용할 수 있습니다. GuardDuty Amazon ECS 클러스터에서 시작되는 새 Fargate 작업에 보안 에이전트를 배포하기 시작합니다. 다음 목록은 GuardDuty 보안 에이전트를 활성화할 때 예상되는 사항을 지정합니다.

GuardDuty 보안 에이전트 활성화가 미치는 영향

GuardDuty 가상 사설 클라우드 (VPC) 엔드포인트 생성

GuardDuty 보안 에이전트를 GuardDuty 배포하면 보안 에이전트가 런타임 이벤트를 전달하는 VPC 엔드포인트를 생성합니다 GuardDuty.

참고

VPC엔드포인트 사용에 따른 추가 비용은 없습니다.

GuardDuty 사이드카 컨테이너를 추가합니다.

실행을 시작하는 새 Fargate 작업 또는 서비스의 경우 GuardDuty 컨테이너 (사이드카) 가 Amazon Fargate 작업 내의 각 컨테이너에 연결됩니다. ECS GuardDuty 보안 에이전트는 연결된 컨테이너 내에서 실행됩니다. GuardDuty 이렇게 하면 이러한 작업 내에서 실행되는 각 컨테이너의 런타임 이벤트를 수집하는 GuardDuty 데 도움이 됩니다.

Fargate 작업을 시작할 때 GuardDuty 컨테이너 (사이드카) 를 정상 상태로 시작할 수 없는 경우 런타임 모니터링은 작업 실행을 방해하지 않도록 설계되었습니다.

기본적으로 Fargate 태스크는 변경할 수 없습니다. GuardDuty 작업이 이미 실행 상태일 때는 사이드카를 배포하지 않습니다. 이미 실행 중인 작업의 컨테이너를 모니터링하려는 경우 작업을 중지했다가 다시 시작하면 됩니다.