こんばんは。小寺です。
Amazon GuardDutyのEKSランタイムモニタリングがOS、プロセッサーのサポート範囲を拡張しました。
https://aws.amazon.com/about-aws/whats-new/2023/07/amazon-guardduty-eks-monitoring-systems-processor/

Amazon GuardDutyにおけるEKS Protetion

Amazon GuardDuty の EKS Protection は、脅威検出を自動的に行い、AWSアカウント内のAmazon EKSクラスターを保護することができます。
「GuardDuty for EKS Protection」の機能はデフォルトで有効です。
当機能がリリースされた後にGuardDutyを有効にしたアカウント・リージョンであっても、以前からGuardDutyを有効にしていたアカウント・リージョンであっても、いずれの場合も「GuardDuty for EKS Protection」機能はデフォルトで有効になります。

EKS Protectionには2つの機能、「EKS監査ログのモニタリング」と「EKSランタイムモニタリング」が含まれています。

・EKS 監査ログのモニタリング
EKSクラスターの「監査ログ」(Audit Logs) を自動的に検査して、脅威の検出を行います。
EKS 監査ログのモニタリングは、ユーザー、Kubernetes APIを使用するアプリケーション、およびコントロールプレーンからの時系列アクティビティをキャプチャします。
EKS側で特に設定を行う必要はありません。

・EKS ランタイムモニタリング
オペレーティングシステムレベルのイベントを使用して、Amazon EKS クラスター内の Amazon EKS ノードとコンテナにおける潜在的な脅威を検出するのに役立ちます。
DaemonSet 形式で GuardDuty エージェントをデプロイし、ファイルアクセス、プロセス実行、ネットワーク接続など、ホスト上のオペレーティング システム レベルの動作を監視することができます。

実は、このランタイムモニタリングは「手動管理」と「自動管理」の2パターンがあります。

・自動管理
GuardDuty は EKS クラスターのセキュリティ エージェントのデプロイと更新を完全に自動管理ができます。
AWS Organizationsから複数のアカウントを管理する場合は、組織用に EKS ランタイム モニタリングを設定できます。

・手動管理
GuardDuty セキュリティ エージェントを手動でデプロイおよび更新する場合、ランタイムモニタリングが利用可能なすべてのアカウントおよび AWS リージョンのEKS クラスター内で GuardDuty セキュリティ エージェント ソフトウェアのデプロイを調整して対応する必要があります。

今回のアップデート内容

Amazon GuardDuty EKS ランタイムモニタリングのeBPF セキュリティエージェントでBottlerocket オペレーティングシステム、AWS Graviton プロセッサ、および AMD64 プロセッサを使用する Amazon Elastic Kubernetes Service (Amazon EKS) ワークロードをサポートするようになりました。
eBPF(Extended Berkeley Packet Filter)はカーネルのソースコードを変更したり、モジュールを追加したりすることなく、プログラムを実行することができる(Linux 4.xより導入された)カーネルの技術です。

今まではサポートされていたOSもAmazon Linux2のみでしたが、今回のアップデートでBottlerocket オペレーティングシステムもサポートされるようになりました。
ちなみにサポートされているBottlerocket オペレーティングシステムのカーネルバージョンは、2023年7月の本アップデート時点では、5.10と5.11です。
Kubernetesのサポートされているバージョンはv1.23 – 1.27です。

まとめ

GuardDutyのプロテクション機能が充実してきましたよね。保護プランに対して色々活用できる選択肢が増えてきたのはいいことですね!

  • GuardDuty S3 Protection
  • GuardDuty EKS Protection
  • GuardDuty Malware Protection
  • GuardDuty RDS Protection
  • GuardDuty Lambda Protection