HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

Amazon GuardDuty:针对 AWS 账户和资源的威胁检测无痕托管服务

  • 2017-12-17
  • 本文字数:1817 字

    阅读完需:约 6 分钟

在拉斯维加斯举办的 AWS re:invent 大会上,Amazon 发布了 Amazon GuardDuty 的通用版本。Amazon GuardDuty 是一项威胁检测托管服务,它可以持续监控恶意的或者未授权的行为,来帮助保护 AWS 账户和工作负载。这项服务可以跨多个 AWS 账户集中管理,并且是无痕的,即不需要安装除 AWS 资源外的其它软件或硬件。它还可以基于 GuardDuty findings(这是一种包含由 GuardDuty 发现的潜在安全问题的各种细节的通知,这些细节包括 finding 类型、问题描述、涉及的 AWS 资源、活动发生时间以及其它信息),通过配置来自动触发补救脚本或者 AWS Lamda 函数。

GuardDuty 可以在 AWS web 控制台,监控一个 AWS 账户(或者一系列账户)的活动,例如不寻常的 API 调用或者潜在的未授权的部署(这可能意味着一次账户违规操作)。GuardDuty 利用类型匹配和机器学习来进行异常检测,然后分析涵盖多个相关联的 AWS 账户中来自 AWS CloudTrail 、Amazon VPC Flow Logs DNS Logs 的事件,并将这些事件数据与一些威胁情报源结合使用。这些威胁情报源包括恶意 IP 地址列表和已知的被黑客掌控的域名列表。

GuardDuty 是无痕的,因为它不需要为了分析 AWS 账户和工作负载的活动数据而安装额外的安全软件或基础设施,这项服务完全在 AWS 基础设施上运行,而且根据 GuardDuty FAQ ,它不会影响客户的工作负载的性能和可靠性。

基于 GuardDuty findings,通过配置可以自动触发补救脚本或 AWS Lambda 函数,触发的事件的负载信息包括受影响的资源的详细信息,例如标签、安全组以及凭据。GuardDuty findings 也包含攻击者的信息,例如 IP 地址和地理位置。这种机制使得 GuardDuty findings 可以被推送到诸如 Sumo logic 或 PagerDuty 之类的事件管理系统,也可以被推送到类似 JIRA 或 Slack 之类的工作流系统。 AWS 博客称,这项功能使得安全团队可以针对攻击定义自动响应动作,并且可以跨一个组织内的所有账户集中实现这一点。

可以从跨多个账户的单个控制台视图来管理 GuardDuty 和进行威胁分流,但是应该提到的是,GuardDuty 是一个区域性的服务,尽管可以使用多个账号和多个区域,但是安全发现会保留在生成其基础数据的同一个区域。这保证了,所有被分析的数据都是基于特定区域的,而且不会跨 AWS 区域边界。如果跨 AWS 区域边界则可能违反区域法规,例如即将施行的欧盟GDPR (General Data Protection Regulation,通用数据保护条例)。客户可以选择,通过利用 AWS CloudWatch Events ,将发现的信息推送到客户控制的数据仓库,例如 Amazon S3,然后再进行聚集的方式,聚集由 Amazon GuardDuty 发现的跨多个区域的安全信息。

GardDuty 也会寻找与恶意实体或服务会话的被病毒感染的 EC2 实例、数据渗透尝试、正在挖掘加密货币的实例。使用(或实例化)被感染的 EC2 实例来进行比特币挖矿,已经成为一种针对防护力弱的账户的攻击方向很多年了,而这种攻击会导致大量(昂贵的)系统资源被占用。

AWS 在他们的《管理 AWS 访问密钥的最佳实践( Best Practices for Managing AWS Acess Keys )》文档中明确警告,任何拥有账户密钥的人都会有和账户所属客户同样级别的访问权限。AWS 声明他们会“竭尽全力保护您的访问密钥”,同时根据平台的责任共担模型,所有客户也应该尽可能保护好自己的访问密钥。一些开源解决方案,例如AWS Lab 的git-secret 项目,可以创建Git pre-commit 钩子,将要提交的数据解析成类似AWS 密钥的模式,然后阻止提交(如果密钥不正确的话)。

在过去几年中,公司泄漏存储在公有云上的数据的公开事件不断增加,这通常集中是由于对AWS 的S3 对象存储服务的错误配置(配置成公开访问的)而引起的。AWS 最近发布了 Amazon Macie ,一项基于机器学习的安全服务,可以发现、分类并保护 S3 中的敏感信息。这项服务可以作为 GuardDuty 提供的更广泛的保护的补充。

Amazon GuardDuty 从两个维度收费:分析的 AWS Cloud Events 数量(每 1,000,000 个事件为一个单位);以及分析的 Amazon VPC Flow Logs 和 DNS Logs 的容量(每 GB 为一个单位)。

Amazon GuardDuty 目前在多个区域内通用,更多关于这项服务的信息可以在它的产品页找到。

查看英文原文: Amazon GuardDuty: A Zero-Footprint Managed Threat Detection Service for AWS Accounts and Resources


感谢罗远航对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-12-17 18:003147

评论

发布
暂无评论
发现更多内容

华为天气“赏春计划”来袭,浪漫解锁影音会员、出行礼包多重福利

最新动态

实用指南:使用Pytest Allure测试框架添加用例失败截图

霍格沃兹测试开发学社

ETLCloud结合kafka的数据集成

RestCloud

kafka ETL 数据集成

牛蛙!GoFrame2.7正式版的监控组件真是及时雨

王中阳Go

Go golang 面试题 面经 大厂面经

文件处理的神器,一键上传签署,安全又高效!

聚道云软件连接器

案例分享

Qt Group与高通公司合作,简化工业物联网的用户界面开发

财见

云手机解决海外社媒运营的诸多挑战

Ogcloud

云手机 海外云手机 云手机海外版 国外云手机 跨境云手机

2024上海国际智慧物业展览会

AIOTE智博会

智慧物业展 智慧物业展会 智慧物业展览会 智慧物业博览会

选择国外云主机的五大理由以及优劣势分析

一只扑棱蛾子

国外主机

RAG 修炼手册|一文讲透 RAG 背后的技术

Zilliz

nlp 向量数据库 LLM rag enbedding

如何借助小程序容器打造自有App小程序生态?

Geek_2305a8

IPQ9574 vs. QCN9074 Does the WiFi7 Platform DR9574 Support WiFi6 Card DR9074?

wallyslilly

QCN9074 ipq9574

如何设计一个实时数据同步系统

golang redis 系统设计 数据同步

JetBrains CLion 2024 for Mac v2024.1中文激活版

iMac小白

【干货】零售商的商品规划策略

第七在线

探索314协议代币合约开发:解析AVE热搜上币与项目推广

区块链软件开发推广运营

dapp开发 区块链开发 链游开发 NFT开发 公链开发

AMD 以全新第二代 Versal 系列器件扩展领先自适应 SoC 产品组合

财见

解析为什么企业出海需要SD-WAN专线

Ogcloud

SD-WAN 企业组网 SD-WAN组网 SD-WAN服务商 SDWAN

NL2SQL基础系列(2):主流大模型与微调方法精选集,Text2SQL经典算法技术回顾七年发展脉络梳理

汀丶人工智能

大模型 NL2SQL

eBPF 开发者大会倒计时!4 月 13 日不见不散

乘云数字DataBuff

智能运维 ebpf Kubernetes, 云原生, eBPF 一体化可观测平台Databuff 云原生运维

英特尔和Altera发布边缘和FPGA产品,提供FPGA AI套件加速开发者创新

E科讯

人大金仓:国产数据库的领航者,高速公路信息化的创新力量

科技热闻

抓包神器wireshark安装保姆级教程

霍格沃兹测试开发学社

基于istio实现单集群地域故障转移

华为云开发者联盟

微服务 istio 华为云 华为云开发者联盟 企业号2024年4月PK榜

RUM 最佳实践-交互延迟的探索与发现

观测云

性能优化

大型连锁企业异地组网稳定性提升指南

Ogcloud

SD-WAN SD-WAN组网 SD-WAN服务商 异地组网 SDWAN

零基础到精通,Postman安装使用教程(一)

霍格沃兹测试开发学社

软件测试学习笔记丨Python的自动解包 自动组包

测试人

Python 软件测试 测试开发

SQLPro Studio for Mac(可视化数据库管理工具)v2024.21激活版

iMac小白

小红书笔记详情API接口解析:轻松抓取内容数据,提升业务效率

技术冰糖葫芦

API Explorer api 货币化 API】 pinduoduo API

软件测试学习笔记丨测试框架体系 TDD DDT BDD ATDD 介绍

测试人

软件测试 测试开发

Amazon GuardDuty:针对AWS账户和资源的威胁检测无痕托管服务_安全_Daniel Bryant_InfoQ精选文章