Question#36(SCS-C01)
ある企業は、Kubernetesベースのアプリケーションを実行するためにAmazon Elastic Kubernetes Service(Amazon EKS)クラスタを使用しています。企業はアプリケーションを保護するためにAmazon GuardDutyを使用しています。GuardDutyでEKS Protectionが有効化されています。しかし、対応するGuardDuty機能はKubernetesベースのアプリケーションを監視していません。GuardDutyがKubernetesベースのアプリケーションを監視するようにするには、どのソリューションを使用すればよいですか?
正解:D
Amazon EKSのコントロールプレーンログ(APIサーバー、オーケストレーター、スケジューラーなどのログ)を有効化し、Amazon CloudWatch Logsに取り込む設定を行うと、GuardDutyのEKS Protectionがこれらのログを分析してKubernetesアプリケーションの異常を検出できるようになります。EKS Protectionは、CloudWatch Logsからコントロールプレーンログを収集し、異常なPod実行、不正なAPI呼び出し、または特権エスカレーションなどの脅威を特定します。設定手順:
- EKSコンソールまたはCLIでコントロールプレーンログを有効化。
- CloudWatch Logsグループ(例:/aws/eks/control-plane)にログが送信されることを確認。 この方法は、GuardDutyのドキュメントで推奨されており、追加の開発や複雑な設定が不要です。
GuardDuty には EKS Runtime Monitoring(アドオンによるノード/コンテナ実行時監視)と EKS Audit Log Monitoring(監査ログ連携)の2系統があります。本問は「EKS プロテクションを有効にしたが監視されない」→ 監査ログの有効化・取り込み不足が典型的原因です。
コメント