在拉斯維加斯舉辦的AWS re:invent大會上,Amazon發布了Amazon GuardDuty的通用版本。Amazon GuardDuty是一項威脅檢測托管服務,它可以持續監控惡意的或者未授權的行為,來幫助保護AWS賬戶和工作負載。這項服務可以跨多個AWS賬戶集中管理,并且是無痕的,即不需要安裝除AWS資源外的其它軟件或硬件。它還可以基于GuardDuty findings(這是一種包含由GuardDuty發現的潛在安全問題的各種細節的通知,這些細節包括finding類型、問題描述、涉及的AWS資源、活動發生時間以及其它信息),通過配置來自動觸發補救腳本或者AWS Lamda函數。
GuardDuty可以在AWS web控制臺,監控一個AWS賬戶(或者一系列賬戶)的活動,例如不尋常的API調用或者潛在的未授權的部署(這可能意味著一次賬戶違規操作)。GuardDuty利用類型匹配和機器學習來進行異常檢測,然后分析涵蓋多個相關聯的AWS賬戶中來自AWS CloudTrail、Amazon VPC Flow Logs和DNS Logs的事件,并將這些事件數據與一些威脅情報源結合使用。這些威脅情報源包括惡意IP地址列表和已知的被黑客掌控的域名列表。
GuardDuty是無痕的,因為它不需要為了分析AWS賬戶和工作負載的活動數據而安裝額外的安全軟件或基礎設施,這項服務完全在AWS基礎設施上運行,而且根據GuardDuty FAQ,它不會影響客戶的工作負載的性能和可靠性。
基于GuardDuty findings,通過配置可以自動觸發補救腳本或AWS Lambda函數,觸發的事件的負載信息包括受影響的資源的詳細信息,例如標簽、安全組以及憑據。GuardDuty findings也包含攻擊者的信息,例如IP地址和地理位置。這種機制使得GuardDuty findings可以被推送到諸如Sumo logic或PagerDuty之類的事件管理系統,也可以被推送到類似JIRA或Slack之類的工作流系統。AWS博客稱,這項功能使得安全團隊可以針對攻擊定義自動響應動作,并且可以跨一個組織內的所有賬戶集中實現這一點。
可以從跨多個賬戶的單個控制臺視圖來管理GuardDuty和進行威脅分流,但是應該提到的是,GuardDuty是一個區域性的服務,盡管可以使用多個賬號和多個區域,但是安全發現會保留在生成其基礎數據的同一個區域。這保證了,所有被分析的數據都是基于特定區域的,而且不會跨AWS區域邊界。如果跨AWS區域邊界則可能違反區域法規,例如即將施行的歐盟GDPR(General Data Protection Regulation,通用數據保護條例)。客戶可以選擇,通過利用AWS CloudWatch Events,將發現的信息推送到客戶控制的數據倉庫,例如Amazon S3,然后再進行聚集的方式,聚集由Amazon GuardDuty發現的跨多個區域的安全信息。
GardDuty也會尋找與惡意實體或服務會話的被病毒感染的EC2實例、數據滲透嘗試、正在挖掘加密貨幣的實例。使用(或實例化)被感染的EC2實例來進行比特幣挖礦,已經成為一種針對防護力弱的賬戶的攻擊方向很多年了,而這種攻擊會導致大量(昂貴的)系統資源被占用。
AWS在他們的《管理AWS訪問密鑰的最佳實踐(Best Practices for Managing AWS Acess Keys)》文檔中明確警告,任何擁有賬戶密鑰的人都會有和賬戶所屬客戶同樣級別的訪問權限。AWS聲明他們會“竭盡全力保護您的訪問密鑰”,同時根據平臺的責任共擔模型,所有客戶也應該盡可能保護好自己的訪問密鑰。一些開源解決方案,例如AWS Lab的git-secret項目,可以創建Git pre-commit鉤子,將要提交的數據解析成類似AWS密鑰的模式,然后阻止提交(如果密鑰不正確的話)。
在過去幾年中,公司泄漏存儲在公有云上的數據的公開事件不斷增加,這通常集中是由于對AWS的S3對象存儲服務的錯誤配置(配置成公開訪問的)而引起的。AWS最近發布了Amazon Macie,一項基于機器學習的安全服務,可以發現、分類并保護S3中的敏感信息。這項服務可以作為GuardDuty提供的更廣泛的保護的補充。
Amazon GuardDuty從兩個維度收費:分析的AWS Cloud Events數量(每1,000,000個事件為一個單位);以及分析的Amazon VPC Flow Logs和DNS Logs的容量(每GB為一個單位)。
Amazon GuardDuty目前在多個區域內通用,更多關于這項服務的信息可以在它的產品頁找到。
查看英文原文:Amazon GuardDuty: A Zero-Footprint Managed Threat Detection Service for AWS Accounts and Resources
京公網安備 11010502049343號