런타임 모니터링과 함께 공유 VPC 사용 - Amazon GuardDuty
작동 방법사전 조건

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

런타임 모니터링과 함께 공유 VPC 사용

GuardDuty 런타임 모니터링은 동일한 조직에 AWS 계정 속한에 대해 공유 Amazon Virtual Private Cloud(Amazon VPC) 사용을 지원합니다 AWS Organizations. 공유 VPC는 두 가지 방법으로 사용할 수 있습니다.

  • 자동 에이전트 구성(권장) - GuardDuty가 보안 에이전트를 자동으로 관리하면 Amazon VPC 엔드포인트 정책도 구성됩니다. 이 정책은 조직의 공유 VPC 설정을 기반으로 합니다.

    공유 VPC 소유자 계정과이 VPC를 공유할 모든 참여 계정에서 자동 에이전트 구성을 활성화해야 합니다.

  • 수동 관리형 에이전트 - 공유 VPC로 보안 에이전트를 수동으로 관리하는 경우 해당 계정이 공유 VPC에 액세스할 수 있도록 VPC 엔드포인트 정책을 업데이트해야 합니다. 이렇게 하려면 다음 작동 방법 섹션에서 공유된 예제 정책을 사용할 수 있습니다.

    공유 VPC의 참여 계정과 관련된 수동 관리 시나리오의 경우 적용 범위 상태가 정확하지 않을 수 있습니다. 리소스의 up-to-date 보호 및 적용 범위 상태를 보장하기 위해 GuardDuty는 공유 VPC를 사용할 모든 계정에 대해 자동 에이전트 구성을 활성화할 것을 권장합니다.

작동 방법

공유 Amazon VPC 소유자 계정과 동일한 조직에 AWS 계정 속한 도 동일한 Amazon VPC 엔드포인트를 공유할 수 있습니다. 동일한 Amazon VPC 엔드포인트 정책을 사용하는 각 계정은 연결된 공유 Amazon VPC의 참가자 AWS 계정으로 호출됩니다.

다음 예는 공유 VPC 소유자 계정과 참여자 계정의 기본 VPC 엔드포인트 정책을 보여줍니다. aws:PrincipalOrgID에는 공유 VPC 리소스와 연결된 조직 ID가 표시됩니다. 이 정책의 사용은 소유자 계정의 조직에 있는 참가자 계정으로 제한됩니다.

공유 VPC 엔드포인트 정책 예제
{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
더보기간략히 보기

GuardDuty 자동 에이전트 구성 사용

공유 VPC의 소유자 계정이 리소스(Amazon EKS 또는 AWS Fargate (Amazon ECS만 해당))에 대해 런타임 모니터링 및 자동 에이전트 구성을 활성화하면 모든 공유 VPCs는 공유 VPC 소유자 계정에서 공유 Amazon VPC 엔드포인트 및 연결된 보안 그룹을 자동으로 설치할 수 있습니다. GuardDuty는 공유 Amazon VPC와 연결된 조직 ID를 검색합니다.

GuardDuty는 공유 VPC 소유자 계정 또는 참여 계정에 필요할 때 Amazon VPC 엔드포인트를 생성합니다. Amazon VPC 엔드포인트가 필요한 예로는 GuardDuty, 런타임 모니터링, EKS 런타임 모니터링 활성화 또는 새로운 Amazon ECS-Fargate 작업 시작 등이 있습니다. 이러한 계정이 모든 리소스 유형에 대해 런타임 모니터링 및 자동 에이전트 구성을 활성화하면 GuardDuty는 Amazon VPC 엔드포인트를 생성하고 공유 VPC 소유자 계정과 동일한 조직 ID로 엔드포인트 정책을 설정합니다. GuardDuty는 GuardDutyManaged 태그를 추가하고 GuardDuty가 생성하는 Amazon VPC 엔드포인트에 대해 true로 설정합니다. 공유 Amazon VPC 소유자 계정에서 리소스에 대한 런타임 모니터링 또는 자동화된 에이전트 구성을 사용하도록 설정하지 않은 경우, GuardDuty는 Amazon VPC 엔드포인트 정책을 설정하지 않습니다. 공유 VPC 소유자 계정에서 런타임 모니터링을 구성하고 보안 에이전트를 자동으로 관리하는 방법에 대한 자세한 내용은 GuardDuty 런타임 모니터링 활성화을 참조하세요.

수동 관리형 에이전트와 함께 사용

수동 관리형 에이전트와 함께 공유 VPC를 사용하는 경우 공유 VPC를 사용해야 하는 계정을 차단하는 명시적 Deny 엔드포인트 정책이 없는지 확인합니다. 이렇게 하면 보안 에이전트가 GuardDuty에 원격 측정을 전송하지 못하여 Unhealthy 적용 범위 상태가 됩니다. 엔드포인트 정책 설정은 섹션을 참조하세요Example shared VPC endpoint policy.

공유 VPC에 대한 권한 누락과 같은 시나리오에서는 런타임 적용 범위가 정확하지 않을 수 있습니다. 의 리소스 유형에 대한 단계에 따라 리소스 적용 범위를 지속적으로 모니터링할 수 있습니다런타임 범위 통계 검토 및 문제 해결.

컴퓨팅 리소스의 지속적인 런타임 모니터링 보호를 보장하기 위해 GuardDuty는 공유 VPC 소유자 계정 및 리소스의 모든 참여 계정에 대해 자동 에이전트 구성을 활성화할 것을 권장합니다.

공유 VPC를 사용하기 위한 사전 조건

초기 설정의 일부로 공유 VPC의 소유자가 AWS 계정 될에서 다음 단계를 수행합니다.

  1. 조직 생성 - AWS Organizations 사용 설명서조직 생성 및 관리 단계에 따라 조직을 생성합니다.

    멤버 계정 추가 또는 제거AWS 계정 에 대한 자세한 내용은 조직에서 관리를 참조하세요.

  2. 공유 VPC 리소스 생성 - 소유자 계정에서 공유 VPC 리소스를 생성할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서의 다른 계정과 VPC 서브넷 공유를 참조하세요.

GuardDuty 런타임 모니터링 관련 사전 조건

다음 목록은 GuardDuty 에 고유한 사전 조건을 제공합니다.

  • 공유 VPC의 소유자 계정과 참여 계정은 GuardDuty에서 서로 다른 조직에 속해 있을 수 있습니다. 그러나 AWS Organizations에서 동일한 조직에 속해야 합니다. 이는 GuardDuty가 Amazon VPC 엔드포인트와 공유 VPC에 대한 보안 그룹을 만드는 데 필요합니다. 공유 VPC의 작동 방식에 대한 자세한 내용은 Amazon VPC 사용 설명서다른 계정과 VPC 공유하기를 참조하세요.

  • 공유 VPC 소유자 계정 및 참여자 계정의 모든 리소스에 대해 런타임 모니터링 또는 EKS 런타임 모니터링 및 GuardDuty 자동 에이전트 구성을 사용 설정합니다. 자세한 내용은 Runtime Monitoring 활성화 단원을 참조하십시오.

    이러한 구성을 이미 완료했다면 다음 단계를 계속 진행하세요.

  • Amazon EKS 또는 Amazon ECS(AWS Fargate 전용) 작업으로 작업할 때는 소유자 계정과 연결된 공유 VPC 리소스를 선택하고 해당 서브넷을 선택해야 합니다.