기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
지원을 위한 사전 요구 사항 ( AWS Fargate Amazon ECS만 해당)
아키텍처 요구 사항 검증
사용하는 플랫폼은 GuardDuty 보안 에이전트가 Amazon ECS 클러스터로부터 런타임 이벤트를 수신하도록 지원하는 GuardDuty 방식에 영향을 미칠 수 있습니다. 확인된 플랫폼 중 하나를 사용하고 있는지 검증해야 합니다.
- 초기 고려 사항:
-
Amazon ECS 클러스터용 AWS Fargate (Fargate) 플랫폼은 Linux여야 합니다. 해당 플랫폼 버전은 최소
1.4.0
또는LATEST
이상이어야 합니다. 플랫폼 버전에 대한 자세한 내용은 Amazon Elastic 컨테이너 서비스 개발자 안내서의 Linux 플랫폼 버전을 참조하십시오.Windows 플랫폼 버전은 아직 지원되지 않습니다.
검증된 플랫폼
OS 배포 및 CPU 아키텍처는 GuardDuty 보안 에이전트가 제공하는 지원에 영향을 줍니다. 다음 표는 GuardDuty 보안 에이전트를 배포하고 런타임 모니터링을 구성하기 위한 검증된 구성을 보여줍니다.
OS 배포판 | 커널 지원 | CPU 아키텍처 | |
---|---|---|---|
x64(AMD64) | Graviton(ARM64) | ||
Linux | eBPF, Tracepoints, Kprobe | 지원 | 지원 |
ECR 권한 및 서브넷 세부 정보를 제공하십시오.
런타임 모니터링을 활성화하기 전에 다음 세부 정보를 제공해야 합니다.
- 권한이 있는 작업 실행 역할을 제공하십시오.
-
작업 실행 역할을 수행하려면 특정 Amazon Elastic Container 레지스트리 (Amazon ECR) 권한이 있어야 합니다. TaskExecutionRolePolicyAmazonECS 관리형 정책을 사용하거나 정책에 다음 권한을 추가할 수 있습니다.
TaskExecutionRole
... "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage", ...
Amazon ECR 권한을 더 제한하려면 GuardDuty 보안 에이전트를 호스팅하는 Amazon ECR 리포지토리 URI를 추가할 수 있습니다 ( AWS Fargate Amazon ECS만 해당). 자세한 정보는 GuardDuty 에이전트용 리포지토리 AWS Fargate (Amazon ECS만 해당)을 참조하세요.
- 작업 정의에 서브넷 세부 정보를 제공하십시오.
-
퍼블릭 서브넷을 작업 정의의 입력으로 제공하거나 Amazon ECR VPC 엔드포인트를 생성할 수 있습니다.
-
작업 정의 옵션 사용 — Amazon Elastic Container Service API 참조에서 CreateService및 UpdateServiceAPI를 실행하려면 서브넷 정보를 전달해야 합니다. 자세한 내용은 Amazon Elastic 컨테이너 서비스 개발자 안내서의 Amazon ECS 작업 정의를 참조하십시오.
-
Amazon ECR VPC 엔드포인트 옵션 사용 — Amazon ECR에 네트워크 경로 제공 - 보안 에이전트를 GuardDuty 호스팅하는 Amazon ECR 리포지토리 URI가 네트워크에서 액세스할 수 있는지 확인합니다. Fargate 작업이 프라이빗 서브넷에서 실행되는 경우 Fargate는 컨테이너를 다운로드하기 위한 네트워크 경로가 필요합니다. GuardDuty
Fargate에서 컨테이너를 다운로드할 수 있도록 설정하는 방법에 대한 자세한 내용은 Amazon Elastic GuardDuty 컨테이너 서비스 개발자 안내서의 Amazon ECS와 Amazon ECR 사용을 참조하십시오.
-
조직 서비스 제어 정책 검증
조직의 권한을 관리하기 위해 SCP (서비스 제어 정책) 를 설정한 경우 정책이 권한을 거부하지 않는지 확인하세요. guardduty:SendSecurityTelemetry
다양한 리소스 유형에서 런타임 GuardDuty 모니터링을 지원하는 데 필요합니다.
멤버 계정인 경우 연결된 위임 관리자와 연결하세요. 조직의 SCP 관리에 대한 자세한 내용은 서비스 제어 정책 (SCP) 을 참조하십시오.
CPU 및 메모리 제한
Fargate 작업 정의에서는 작업 수준에서 CPU 및 메모리 값을 지정해야 합니다. 다음 표에는 작업 수준 CPU와 메모리 값의 유효한 조합과 해당 GuardDuty Security Agent의 컨테이너의 최대 메모리 제한이 나와 있습니다. GuardDuty
CPU 값 | 메모리 값 | GuardDuty 에이전트 최대 메모리 제한 |
---|---|---|
256(.25 vCPU) |
512메가바이트, 1기가바이트, 2기가바이트 |
128MB |
512(.5 vCPU) |
1GB, 2GB, 3GB, 4GB |
|
1024(1 vCPU) |
2기가바이트, 3기가바이트, 4기가바이트 |
|
5기가바이트, 6기가바이트, 7기가바이트, 8기가바이트 |
||
2048(2 vCPU) |
4~16GB(1GB 증분) |
|
4096(4 vCPU) |
8GB에서 20GB 사이 (1GB 단위로 증가) |
|
8192 (8 vCPU) |
16GB에서 28GB 사이 (4GB 단위로 증가) |
256MB |
32GB에서 60GB 사이 (4GB 단위로 증가) |
512MB |
|
16384 (16 vCPU) |
32~120GB(8GB 증분) |
1GB |
런타임 모니터링을 활성화하고 클러스터의 커버리지 상태가 정상인지 평가한 후 컨테이너 인사이트 메트릭을 설정하고 볼 수 있습니다. 자세한 설명은 Amazon ECS 클러스터에서 모니터링 설정 섹션을 참조하십시오.
다음 단계는 런타임 모니터링을 구성하고 보안 에이전트도 구성하는 것입니다.