BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Amazon GuardDuty:针对AWS账户和资源的威胁检测无痕托管服务

| 作者 Daniel Bryant 关注 766 他的粉丝 ,译者 张健欣 关注 4 他的粉丝 发布于 2017年12月18日. 估计阅读时间: 6 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

在拉斯维加斯举办的AWS re:invent大会上,Amazon发布了Amazon GuardDuty的通用版本。Amazon GuardDuty是一项威胁检测托管服务,它可以持续监控恶意的或者未授权的行为,来帮助保护AWS账户和工作负载。这项服务可以跨多个AWS账户集中管理,并且是无痕的,即不需要安装除AWS资源外的其它软件或硬件。它还可以基于GuardDuty findings(这是一种包含由GuardDuty发现的潜在安全问题的各种细节的通知,这些细节包括finding类型、问题描述、涉及的AWS资源、活动发生时间以及其它信息),通过配置来自动触发补救脚本或者AWS Lamda函数。

GuardDuty可以在AWS web控制台,监控一个AWS账户(或者一系列账户)的活动,例如不寻常的API调用或者潜在的未授权的部署(这可能意味着一次账户违规操作)。GuardDuty利用类型匹配和机器学习来进行异常检测,然后分析涵盖多个相关联的AWS账户中来自AWS CloudTrail、Amazon VPC Flow LogsDNS Logs的事件,并将这些事件数据与一些威胁情报源结合使用。这些威胁情报源包括恶意IP地址列表和已知的被黑客掌控的域名列表。

GuardDuty是无痕的,因为它不需要为了分析AWS账户和工作负载的活动数据而安装额外的安全软件或基础设施,这项服务完全在AWS基础设施上运行,而且根据GuardDuty FAQ,它不会影响客户的工作负载的性能和可靠性。

基于GuardDuty findings,通过配置可以自动触发补救脚本或AWS Lambda函数,触发的事件的负载信息包括受影响的资源的详细信息,例如标签、安全组以及凭据。GuardDuty findings也包含攻击者的信息,例如IP地址和地理位置。这种机制使得GuardDuty findings可以被推送到诸如Sumo logic或PagerDuty之类的事件管理系统,也可以被推送到类似JIRA或Slack之类的工作流系统。AWS博客称,这项功能使得安全团队可以针对攻击定义自动响应动作,并且可以跨一个组织内的所有账户集中实现这一点。

可以从跨多个账户的单个控制台视图来管理GuardDuty和进行威胁分流,但是应该提到的是,GuardDuty是一个区域性的服务,尽管可以使用多个账号和多个区域,但是安全发现会保留在生成其基础数据的同一个区域。这保证了,所有被分析的数据都是基于特定区域的,而且不会跨AWS区域边界。如果跨AWS区域边界则可能违反区域法规,例如即将施行的欧盟GDPR(General Data Protection Regulation,通用数据保护条例)。客户可以选择,通过利用AWS CloudWatch Events,将发现的信息推送到客户控制的数据仓库,例如Amazon S3,然后再进行聚集的方式,聚集由Amazon GuardDuty发现的跨多个区域的安全信息。

GardDuty也会寻找与恶意实体或服务会话的被病毒感染的EC2实例、数据渗透尝试、正在挖掘加密货币的实例。使用(或实例化)被感染的EC2实例来进行比特币挖矿,已经成为一种针对防护力弱的账户的攻击方向很多年了,而这种攻击会导致大量(昂贵的)系统资源被占用。

AWS在他们的《管理AWS访问密钥的最佳实践(Best Practices for Managing AWS Acess Keys)》文档中明确警告,任何拥有账户密钥的人都会有和账户所属客户同样级别的访问权限。AWS声明他们会“竭尽全力保护您的访问密钥”,同时根据平台的责任共担模型,所有客户也应该尽可能保护好自己的访问密钥。一些开源解决方案,例如AWS Lab的git-secret项目,可以创建Git pre-commit钩子,将要提交的数据解析成类似AWS密钥的模式,然后阻止提交(如果密钥不正确的话)。

在过去几年中,公司泄漏存储在公有云上的数据的公开事件不断增加,这通常集中是由于对AWS的S3对象存储服务的错误配置(配置成公开访问的)而引起的。AWS最近发布了Amazon Macie,一项基于机器学习的安全服务,可以发现、分类并保护S3中的敏感信息。这项服务可以作为GuardDuty提供的更广泛的保护的补充。

Amazon GuardDuty从两个维度收费:分析的AWS Cloud Events数量(每1,000,000个事件为一个单位);以及分析的Amazon VPC Flow Logs和DNS Logs的容量(每GB为一个单位)。

Amazon GuardDuty目前在多个区域内通用,更多关于这项服务的信息可以在它的产品页找到。

查看英文原文:Amazon GuardDuty: A Zero-Footprint Managed Threat Detection Service for AWS Accounts and Resources


感谢罗远航对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT