内容
要件によって使える場面が限定されるものもありますが、閉域でEC2を運用するTipsを下記観点で記載しました。
- マルウェア対策
- パッチ適用
- アラート通知
マルウェア対策
オンプレミス環境ではウィルス対策サーバを用意して、各サーバのパターンファイルを更新するといった運用を行うことがあると思いますが、AWSのマネージドサービスを使用してマルウェア対策を行う方法に「GuardDuty Runtime Monitoring」といった機能があります。EC2サーバにエージェントをインストールして、GuardDutyにイベント送付、分析するといった仕組みです。エージェントはSystem Manager経由で自動インストールが可能です。またGuardDutyとの通信はRuntime MonitoringのVPCエンドポイント経由で行います。現在対応OSはAmazon LinuxやUbuntuなど一部のOSに限定されます。
パッチ適用
こちらもOSが限定された方法となりますが、Amazon Linuxであればインターネット接続環境が無くてもyumコマンドでパッケージのアップデートが可能です。Amazon LinuxのパッケージリポジトリはS3でホストされているためです。そのためS3のVPCエンドポイントは必要です。VPC内からのアクセスのため無料のゲートウェイエンドポイントを作成しています。
アラート通知
EC2を監視して、アラートメールを通知する方法です。こちらは一般的に使用する方法ですが、たまに外部向けのメールサーバが必要か?と質問をされることがあるため記載しました。CloudWatchでEC2を監視、CloudWatchやAmazon EventBrigeのターゲットとしてSNSを指定、SNSで通知先のメールアドレスを設定すれば外部のメールアドレスに通知可能です。