Amazon GuardDuty, Amazon EKS Runtime Monitoring 정식 지원

2017년 Amazon GuardDuty가 출시된 이후 GuardDuty는 AWS CloudTrail 이벤트 로그, Amazon Virtual Private Cloud 플로우 로그, DNS 쿼리 로그, Amazon Simple Storage Service(Amazon S3) 데이터 플레인 이벤트, Amazon Elastic Kubernetes Service(Amazon EKS) 감사 로그, Amazon Relational Database Service(Amazon RDS) 로그인 이벤트 등 여러 AWS 데이터 소스에서 분당 수백억 개의 이벤트를 분석하여 AWS 계정 및 리소스를 보호할 수 있었습니다.

2020년에 GuardDuty는 S3 데이터 액세스 이벤트 및 구성을 지속적으로 모니터링하고 프로파일링하여 Amazon S3에서 의심스러운 활동을 탐지하는 Amazon S3 보호 기능을 추가했습니다. 작년에 GuardDuty는 계정에 있는 기존 및 신규 EKS 클러스터의 Kubernetes 감사 로그를 분석하여 컨트롤 플레인 활동을 모니터링하는 Amazon EKS 보호 기능, EBS 볼륨을 사용하여 EC2 인스턴스 또는 컨테이너 워크로드에 있는 악성 파일을 스캔하는 Amazon EBS 맬웨어 보호 기능, Amazon Aurora 데이터베이스에 저장된 데이터에 대한 잠재적 위협을 식별하는 Amazon RDS 보호 기능을 출시했으며, 최근에 정식으로 출시했습니다.

GuardDuty는 다양한 AWS 데이터 소스를 사용하여 기계 학습(ML), 이상 탐지, 네트워크 모니터링 및 악성 파일 탐지를 결합합니다. 위협이 탐지되면 GuardDuty는 보안 조사 결과를 AWS Security Hub, Amazon EventBridge, 및 Amazon Detective에 자동으로 전송합니다. 이러한 통합을 통해 AWS 및 파트너 서비스에 대한 모니터링을 중앙 집중화하고, 맬웨어 조사 결과에 대한 대응을 자동화하고, GuardDuty에서 보안 조사를 수행할 수 있습니다.

오늘 30개 이상의 보안 조사 결과에서 런타임 위협을 탐지하여 EKS 클러스터를 보호할 수 있는 Amazon GuardDuty EKS Runtime Monitoring의 정식 출시를 발표합니다. 새로운 EKS Runtime Monitoring은 파일 액세스, 프로세스 실행 및 네트워크 연결과 같은 개별 컨테이너 런타임 활동에 대한 가시성을 추가하는 완전 관리형 EKS 애드온을 사용합니다.

GuardDuty는 이제 잠재적으로 손상된 EKS 클러스터 내의 특정 컨테이너를 식별하고 개별 컨테이너에서 기본 Amazon EC2 호스트 및 광범위한 AWS 환경으로 권한을 에스컬레이션하려는 시도를 탐지할 수 있습니다. GuardDuty EKS Runtime Monitoring 조사 결과는 잠재적인 위협을 식별하고 에스컬레이션되기 전에 차단할 수 있는 메타데이터 컨텍스트를 제공합니다.

GuardDuty에서 EKS Runtime Monitoring 설정
시작하려면 먼저 GuardDuty 콘솔에서 몇 번의 클릭만으로 EKS Runtime Monitoring을 활성화하세요.

EKS Runtime Monitoring을 활성화하면 GuardDuty는 계정의 모든 기존 및 새 EKS 클러스터에 대한 런타임 활동 이벤트 모니터링 및 분석을 시작할 수 있습니다. GuardDuty에서 계정의 모든 기존 및 새 EKS 클러스터에 필요한 EKS 관리형 애드온을 배포하고 업데이트하도록 하려면 에이전트 자동 관리를 선택하세요. 이렇게 하면 보안 에이전트가 런타임 이벤트를 GuardDuty에 전달하는 VPC 엔드포인트도 생성됩니다.

EKS Audit Log Monitoring과 런타임 모니터링을 함께 구성하면 클러스터 컨트롤 플레인 수준과 개별 포드 또는 컨테이너 운영 체제 수준 모두에서 최적의 EKS 보호를 달성할 수 있습니다. 위협 탐지를 함께 사용하면 상황에 맞는 위협 탐지를 통해 신속하게 우선 순위를 정하고 대응할 수 있습니다. 예를 들어, 의심스러운 동작을 보이는 포드에 대한 런타임 기반 탐지는 포드가 에스컬레이션된 권한으로 비정상적으로 시작되었음을 나타내는 감사 로그 기반 탐지로 보강될 수 있다.

이러한 옵션은 기본값이지만 구성 가능하며 EKS Runtime Monitoring을 비활성화하려면 상자 중 하나를 선택 취소할 수 있습니다. EKS Runtime Monitoring을 비활성화하면 GuardDuty는 모든 기존 EKS 클러스터에 대한 런타임 활동 이벤트 모니터링 및 분석을 즉시 중지합니다. GuardDuty를 통해 자동 에이전트 관리를 구성한 경우, 이 작업을 수행하면 GuardDuty가 배포한 보안 에이전트도 제거됩니다.

자세히 알아보려면 AWS 설명서에서 EKS Runtime Monitoring 구성을 참조하세요.

GuardDuty 에이전트 수동 관리
GuardDuty 에이전트를 비롯한 EKS 관리형 추가 기능을 계정의 클러스터별로 수동으로 배포하고 업데이트하려면 EKS 보호 구성에서 에이전트 자동 관리를 선택 해제하세요.

애드온을 수동으로 관리할 때는 보안 에이전트가 GuardDuty에 런타임 이벤트를 전달하는 데 사용할 VPC 엔드포인트를 만들어야 합니다. VPC 엔드포인트 콘솔에서 엔드포인트 생성을 선택합니다. 그런 다음 서비스 범주에서 기타 엔드포인트 서비스를 선택하고 미국 동부(버지니아 북부) 지역의 서비스 이름에 com.amazonaws.us-east-1.guardduty-data를 입력한 다음 서비스 확인을 선택합니다.

서비스 이름을 성공적으로 확인한 후 EKS 클러스터가 있는 VPC와 서브넷을 선택합니다. 추가 설정에서 DNS 이름 활성화를 선택합니다. 보안 그룹의 VPC(또는 EKS 클러스터)에서 활성화된 인바운드 포트 443이 있는 보안 그룹을 선택합니다.

다음 정책을 추가하여 VPC 엔드포인트 사용을 지정된 계정으로만 제한합니다.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Action": "*",
			"Resource": "*",
			"Effect": "Allow",
			"Principal": "*"
		},
		{
			"Condition": {
				"StringNotEquals": {
					"aws:PrincipalAccount": "123456789012"
				}
			},
			"Action": "*",
			"Resource": "*",
			"Effect": "Deny",
			"Principal": "*"
		}
	]
}

이제 EKS 클러스터용 Amazon GuardDuty EKS Runtime Monitoring 애드온을 설치할 수 있습니다. Amazon EKS 콘솔의 EKS 클러스터 프로필에 있는 애드온 탭에서 이 애드온을 선택합니다.

GuardDuty에서 EKS Runtime Monitoring을 활성화하고 EKS 클러스터용 Amazon EKS 애드온을 배포하면 접두사 aws-guardduty-agent가 있는 새 포드를 볼 수 있습니다. GuardDuty는 이제 클러스터의 모든 EC2 호스트 및 컨테이너에서 런타임 활동 이벤트를 사용하기 시작합니다. 그런 다음 GuardDuty는 이러한 이벤트를 분석하여 잠재적 위협이 있는지 확인합니다.

이러한 포드는 다양한 이벤트 유형을 수집하여 위협 탐지 및 분석을 위해 GuardDuty 백엔드로 전송합니다. 애드온을 수동으로 관리하는 경우, 새 EKS 클러스터를 포함하여 모니터링하려는 각 EKS 클러스터에 대해 다음 단계를 수행해야 합니다.

자세히 알아보려면 AWS 설명서에서 GuardDuty 에이전트 수동 관리를 참조하세요.

EKS 런타임 보안 조사 결과 확인
GuardDuty가 잠재적 위협을 탐지하고 보안 조사 결과를 생성하면 해당 조사 결과의 세부 정보를 볼 수 있습니다. 이러한 보안 조사 결과는 AWS 환경에서 손상된 EC2 인스턴스, 컨테이너 워크로드, EKS 클러스터 또는 손상된 자격 증명 세트를 나타냅니다.

테스트 목적으로 EKS Runtime Monitoring 샘플 조사 결과를 생성하려면 AWS 설명서의 GuardDuty에서 샘플 조사 결과 생성을 참조하세요. 다음은 잠재적인 보안 문제의 예입니다. EKS 클러스터에서 새로 생성되거나 최근에 수정된 바이너리 파일이 실행되었습니다.

EKS 보호 조사 결과 유형의 리소스 유형은 인스턴스, EKSCluster 또는 컨테이너일 수 있습니다. 조사 결과 세부 정보의 리소스 유형이 EKSCluster인 경우 EKS 클러스터 내의 포드 또는 컨테이너가 잠재적으로 손상되었음을 나타냅니다. 잠재적으로 손상된 리소스 유형에 따라 조사 결과 세부 정보에는 Kubernetes 워크로드 세부 정보, EKS 클러스터 세부 정보 또는 인스턴스 세부 정보가 포함될 수 있습니다.

프로세스 세부 정보 및 필수 컨텍스트와 같은 런타임 세부 정보는 관찰된 프로세스에 대한 정보를 설명하고 런타임 컨텍스트는 잠재적으로 의심스러운 활동에 대한 추가 정보를 설명합니다.

손상된 포드 또는 컨테이너 이미지를 수정하려면 AWS 설명서의 EKS Runtime Monitoring 조사 결과 수정을 참조하세요. 이 문서는 각 리소스 유형에 대해 권장되는 수정 단계를 설명합니다. 보안 조사 결과 유형에 대해 자세히 알아보려면 AWS 설명서의 GuardDuty EKS Runtime Monitoring 조사 결과 유형을 참조하세요.

정식 출시
이제 EKS Runtime Monitoring에 Amazon GuardDuty를 사용할 수 있습니다. EKS Runtime Monitoring을 사용할 수 있는 리전의 전체 목록을 보려면 리전별 기능 사용 가능 여부를 참조하세요.

EKS Runtime Monitoring용 GuardDuty을 처음 사용하는 30일은 기존 GuardDuty 계정에 대해 추가 비용 없이 제공됩니다. GuardDuty를 처음으로 활성화한 경우 EKS Runtime Monitoring은 기본적으로 활성화되지 않으므로 위에서 설명한 대로 활성화해야 합니다. GuardDuty에서 평가 기간이 종료되면 EKS Runtime Monitoring의 예상 비용을 확인할 수 있습니다. 자세히 알아보려면 GuardDuty 가격 책정 페이지를 참조하세요.

자세한 내용은 Amazon GuardDuty 사용 설명서를 참조하고 Amazon GuardDuty용 AWS re:Post 또는 일반적인 AWS 지원 담당자를 통해 피드백을 보내주세요.

– Channy