GuardDuty EKS Protection

EKS Protection を使用すると、AWS 環境の Amazon Elastic Kubernetes Service (Amazon EKS) クラスターに潜在するセキュリティリスクを検出できます。例えば、設定にミスがある EKS クラスターに未認証のアクターがアクセスしてクラスターからシークレットまたは AWS 認証情報を収集しようとしているといった事例を検出できます。EKS Protection は、EKS 監査ログを使用して、ユーザーとアプリケーションのアクティビティを分析します。

EKS Protection を有効にすると、GuardDuty は自動的にAmazon EKS クラスターの潜在的なセキュリティ脅威のモニタリングを開始します。GuardDuty は独自の独立したストリームを使用して EKS Protection における EKS 監査ログ の収集と分析を行います。追加の設定は必要ありません。

EKS 監査ログのモニタリングに基づいて潜在する脅威が検出されると、セキュリティの検出結果が生成されます。EKS Protection を有効にしているときに GuardDuty で生成されうる検出結果タイプについては、「EKS Protection の検出結果タイプ」を参照してください。

EKS Protection を無効にすると、Amazon EKS リソースの EKS 監査ログのモニタリングと分析が直ちに停止します。

GuardDuty を利用可能なすべての AWS リージョンで EKS Protection を利用できるとは限りません。詳細については、「リージョン固有機能の可用性」を参照してください。

EKS Protection における EKS 監査ログ

EKS 監査ログは、ユーザー、Kubernetes API を使用するアプリケーション、コントロールプレーンからのアクティビティなど、Amazon EKS クラスター内のシーケンシャルアクションをキャプチャします。監査ログは、すべての Kubernetes クラスターのコンポーネントです。

詳細については、Kubernetes ドキュメントの「監査」を参照してください。

Amazon EKS を使用すると、EKS コントロールプレーンのログ記録機能を通じて、EKS 監査ログを Amazon CloudWatch Logs として取り込むことができます。GuardDuty は、Amazon EKS コントロールプレーンのログ記録を管理したり、アカウントの EKS 監査ログをアクセス可能な状態にしたりしません (Amazon EKS 向けに有効にしていない場合)。EKS 監査ログへのアクセスと保持期間を管理するには、Amazon EKS コントロールプレーンのログ機能を設定する必要があります。詳細については、「Amazon EKS ユーザーガイド」の「コントロールプレーンログの有効化と無効化」を参照してください。