Amazon EKS 기능 지원 아키텍처 요구 사항 검증 조직 서비스 제어 정책 검증

Amazon EKS 클러스터 지원을 위한 사전 조건

이 섹션에는 Amazon EKS 리소스의 런타임 동작을 모니터링하기 위한 사전 요구 사항이 포함되어 있습니다. 이러한 사전 조건은 GuardDuty 에이전트가 예상대로 작동하는 데 매우 중요합니다. 이러한 사전 조건이 충족되면 GuardDuty 런타임 모니터링 활성화을 참조하여 리소스 모니터링을 시작합니다.

Amazon EKS 기능 지원

런타임 모니터링은 Amazon EC2 인스턴스 및 Amazon EKS Auto Mode에서 실행되는 Amazon EKS 클러스터를 지원합니다.

런타임 모니터링은 Amazon EKS 하이브리드 노드가 있는 Amazon EKS 클러스터와에서 실행되는 클러스터를 지원하지 않습니다 AWS Fargate.

이러한 Amazon EKS 기능에 대한 자세한 내용은 Amazon EKS 사용 설명서의 Amazon EKS란 무엇입니까?를 참조하세요.

아키텍처 요구 사항 검증

사용하는 플랫폼이 GuardDuty 보안 에이전트가 EKS 클러스터로부터 런타임 이벤트를 수신하는 데 있어 GuardDuty를 지원하는 방식에 영향을 미칠 수 있습니다. 확인된 플랫폼 중 하나를 사용하고 있는지 검증해야 합니다. GuardDuty 에이전트를 수동으로 관리하는 경우, Kubernetes 버전이 현재 사용 중인 GuardDuty 에이전트 버전을 지원하는지 확인해야 합니다.

검증된 플랫폼

OS 배포판, 커널 버전 및 CPU 아키텍처는 GuardDuty 보안 에이전트에서 제공하는 지원에 영향을 미칩니다. 다음 표는 GuardDuty 보안 에이전트를 배포하고 EKS 런타임 모니터링을 구성하는 데 있어 검증된 구성을 보여줍니다.

OS 배포판¹	커널 버전²	커널 지원	CPU 아키텍처		지원되는 Kubernetes 버전
OS 배포판¹	커널 버전²	커널 지원	x64(AMD64)	Graviton(ARM64) (Graviton2 이상)³	지원되는 Kubernetes 버전
Bottlerocket	eBPF Tracepoints, Kprobe	지원	지원	5.4, 5.10, 5.15, 6.1⁴	v1.23 - v1.32
Ubuntu					v1.21 - v1.32
AL2
AL2023⁵
RedHat 9.4				5.14
Fedora 34.0				5.11, 5.17
CentOS Stream 9				5.14

다양한 운영 체제 지원 - GuardDuty는 앞의 표에 나열된 운영 체제에서 런타임 모니터링을 사용하는 지원을 확인했습니다. 다른 운영 체제를 사용하지만 보안 에이전트를 성공적으로 설치할 수 있는 경우, 나열된 OS 배포에서 GuardDuty가 제공하는 것으로 확인된 모든 예상 보안 값을 얻을 수 있습니다.
커널 버전의 경우 CONFIG_DEBUG_INFO_BTF 플래그를 y ( true)로 설정해야 합니다. 이는 GuardDuty 보안 에이전트가 예상대로 실행될 수 있도록 하기 위해 필요합니다.
Amazon EKS 클러스터에 대한 런타임 모니터링은 A1 인스턴스 유형과 같은 1세대 Graviton 인스턴스를 지원하지 않습니다.
현재 커널 버전 6.1에서는 도메인 이름 시스템(DNS) 이벤트와 관련된 GuardDutyGuardDuty 런타임 모니터링 조사 결과 유형를 생성할 수 없습니다.
런타임 모니터링은 GuardDuty 보안 에이전트 v1.6.0 이상의 릴리스와 함께 AL2023을 지원합니다. 자세한 내용은 Amazon EKS 클러스터용 GuardDuty 보안 에이전트 단원을 참조하십시오.

GuardDuty 보안 에이전트가 지원하는 Kubernetes 버전

다음 표는 GuardDuty 보안 에이전트에서 지원하는 EKS 클러스터의 Kubernetes 버전을 보여줍니다.

Amazon EKS 추가 기능 GuardDuty 보안 에이전트 버전	Kubernetes 버전
v1.9.0(최신 - v1.9.0-eksbuild.2) v1.8.1(최신 - v1.8.1-eksbuild.2)	1.21~1.32
v1.7.0 v1.6.1	1.21~1.31
v1.7.1 v1.7.0 v1.6.1	1.21~1.31

v1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1	1.21~1.29

v1.3.0 v1.2.0	1.21~1.28

v1.1.0	1.21~1.26

v1.0.0	1.21 - 1.25

일부 GuardDuty 보안 에이전트 버전은 표준 지원이 종료됩니다. 에이전트 릴리스 버전에 대한 자세한 내용은 Amazon EKS 클러스터용 GuardDuty 보안 에이전트를 참조하세요.

CPU 및 메모리 제한

다음 표는 GuardDuty용 Amazon EKS 추가 기능(aws-guardduty-agent)의 CPU 및 메모리 제한을 보여줍니다.

파라미터	최소 제한	최대 제한
CPU	200m	1,000m
메모리	256Mi	1024Mi

Amazon EKS 추가 기능 버전 1.5.0 이상을 사용하는 경우 GuardDuty는 CPU 및 메모리 값에 대한 애드온 기능 스키마를 구성하는 기능을 제공합니다. 구성 범위에 대한 자세한 설명은 구성 가능한 파라미터 및 값을 참조하세요.

EKS 런타임 모니터링을 활성화하고 EKS 클러스터의 적용 범위 상태를 평가한 후 컨테이너 인사이트 지표를 설정하고 볼 수 있습니다. 자세한 내용은 CPU 및 메모리 모니터링 설정 단원을 참조하십시오.

조직 서비스 제어 정책 검증

조직의 권한을 관리하기 위해 서비스 제어 정책(SCP)을 설정한 경우 권한 경계가 guardduty:SendSecurityTelemetry를 제한하지 않는지 확인합니다. GuardDuty가 다양한 리소스 유형에서 런타임 모니터링을 지원하는 데 필요합니다.

멤버 계정인 경우 연결된 위임된 관리자와 연결합니다. 조직의 SCP 관리에 대한 자세한 내용은 서비스 제어 정책(SCP)을 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Fargate(ECS만 해당) 클러스터의 경우

Runtime Monitoring 활성화