快手、孩子王、华为等专家分享大模型在电商运营、母婴消费、翻译等行业场景的实际应用 了解详情
写点什么

Amazon GuardDuty:针对 AWS 账户和资源的威胁检测无痕托管服务

  • 2017-12-17
  • 本文字数:1817 字

    阅读完需:约 6 分钟

在拉斯维加斯举办的 AWS re:invent 大会上,Amazon 发布了 Amazon GuardDuty 的通用版本。Amazon GuardDuty 是一项威胁检测托管服务,它可以持续监控恶意的或者未授权的行为,来帮助保护 AWS 账户和工作负载。这项服务可以跨多个 AWS 账户集中管理,并且是无痕的,即不需要安装除 AWS 资源外的其它软件或硬件。它还可以基于 GuardDuty findings(这是一种包含由 GuardDuty 发现的潜在安全问题的各种细节的通知,这些细节包括 finding 类型、问题描述、涉及的 AWS 资源、活动发生时间以及其它信息),通过配置来自动触发补救脚本或者 AWS Lamda 函数。

GuardDuty 可以在 AWS web 控制台,监控一个 AWS 账户(或者一系列账户)的活动,例如不寻常的 API 调用或者潜在的未授权的部署(这可能意味着一次账户违规操作)。GuardDuty 利用类型匹配和机器学习来进行异常检测,然后分析涵盖多个相关联的 AWS 账户中来自 AWS CloudTrail 、Amazon VPC Flow Logs DNS Logs 的事件,并将这些事件数据与一些威胁情报源结合使用。这些威胁情报源包括恶意 IP 地址列表和已知的被黑客掌控的域名列表。

GuardDuty 是无痕的,因为它不需要为了分析 AWS 账户和工作负载的活动数据而安装额外的安全软件或基础设施,这项服务完全在 AWS 基础设施上运行,而且根据 GuardDuty FAQ ,它不会影响客户的工作负载的性能和可靠性。

基于 GuardDuty findings,通过配置可以自动触发补救脚本或 AWS Lambda 函数,触发的事件的负载信息包括受影响的资源的详细信息,例如标签、安全组以及凭据。GuardDuty findings 也包含攻击者的信息,例如 IP 地址和地理位置。这种机制使得 GuardDuty findings 可以被推送到诸如 Sumo logic 或 PagerDuty 之类的事件管理系统,也可以被推送到类似 JIRA 或 Slack 之类的工作流系统。 AWS 博客称,这项功能使得安全团队可以针对攻击定义自动响应动作,并且可以跨一个组织内的所有账户集中实现这一点。

可以从跨多个账户的单个控制台视图来管理 GuardDuty 和进行威胁分流,但是应该提到的是,GuardDuty 是一个区域性的服务,尽管可以使用多个账号和多个区域,但是安全发现会保留在生成其基础数据的同一个区域。这保证了,所有被分析的数据都是基于特定区域的,而且不会跨 AWS 区域边界。如果跨 AWS 区域边界则可能违反区域法规,例如即将施行的欧盟GDPR (General Data Protection Regulation,通用数据保护条例)。客户可以选择,通过利用 AWS CloudWatch Events ,将发现的信息推送到客户控制的数据仓库,例如 Amazon S3,然后再进行聚集的方式,聚集由 Amazon GuardDuty 发现的跨多个区域的安全信息。

GardDuty 也会寻找与恶意实体或服务会话的被病毒感染的 EC2 实例、数据渗透尝试、正在挖掘加密货币的实例。使用(或实例化)被感染的 EC2 实例来进行比特币挖矿,已经成为一种针对防护力弱的账户的攻击方向很多年了,而这种攻击会导致大量(昂贵的)系统资源被占用。

AWS 在他们的《管理 AWS 访问密钥的最佳实践( Best Practices for Managing AWS Acess Keys )》文档中明确警告,任何拥有账户密钥的人都会有和账户所属客户同样级别的访问权限。AWS 声明他们会“竭尽全力保护您的访问密钥”,同时根据平台的责任共担模型,所有客户也应该尽可能保护好自己的访问密钥。一些开源解决方案,例如AWS Lab 的git-secret 项目,可以创建Git pre-commit 钩子,将要提交的数据解析成类似AWS 密钥的模式,然后阻止提交(如果密钥不正确的话)。

在过去几年中,公司泄漏存储在公有云上的数据的公开事件不断增加,这通常集中是由于对AWS 的S3 对象存储服务的错误配置(配置成公开访问的)而引起的。AWS 最近发布了 Amazon Macie ,一项基于机器学习的安全服务,可以发现、分类并保护 S3 中的敏感信息。这项服务可以作为 GuardDuty 提供的更广泛的保护的补充。

Amazon GuardDuty 从两个维度收费:分析的 AWS Cloud Events 数量(每 1,000,000 个事件为一个单位);以及分析的 Amazon VPC Flow Logs 和 DNS Logs 的容量(每 GB 为一个单位)。

Amazon GuardDuty 目前在多个区域内通用,更多关于这项服务的信息可以在它的产品页找到。

查看英文原文: Amazon GuardDuty: A Zero-Footprint Managed Threat Detection Service for AWS Accounts and Resources


感谢罗远航对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-12-17 18:003131

评论

发布
暂无评论
发现更多内容

华为云发布冷启动加速解决方案:助力Serverless计算速度提升90%+

华为云开发者联盟

Serverless 华为云 冷启动 Cold Start 进程级快照

从人工分析到智能分析,流量分析如何快速上手?

智维数据

智能运维 应用交付 可视化数据 流量分析系统

软件测试/测试开发 | 接口自动化测试中,文件上传该如何测试?

测试人

软件测试 自动化测试 接口测试 测试开发 文件上传

在Spring异步线程池中自动传递上下文,这样写轻松又方便

程序员拾山

Spring Boot #java

阿里巴巴最新版“Java性能优化实践文档来袭”把性能优化玩的出神入化

架构师之道

Java 编程 性能优化

架构训练营第10期模块5作业

Geek_4db2d5

Golang如何优雅接入多个远程配置中心?

王中阳Go

golang 高效工作 学习方法 后端 viper

CleanMyMac4.12.3中文版如何汉化免费?

茶色酒

CleanMyMac4.12.3

“零信任”下的防火墙策略管理

智维数据

大数据 防火墙 数据可视化 智能运维 运维安全

nCompass为医疗行业信息安全穿上“铠甲”

智维数据

大数据 数据可视化 智能运维 应用交付 流量分析系统

树与二叉树深度剖析(二)

C++后台开发

数据结构 算法 二叉树 红黑树 Linux服务器开发

深度学习快速上手——基于 MegEngine 的 LeNet 快速训练与部署

MegEngineBot

深度学习 开源 MegEngine

如何让Java编译器帮你写代码

京东科技开发者

后端 编译器 java; 编译器原理 企业号 1 月 PK 榜

30+亮眼指标,看看2022年嘉为蓝鲸的逆势创新之路!

嘉为蓝鲸

自动化运维 嘉为蓝鲸 2022大事件

栉风沐雨 韧性前行 | 2022年九科大事件

九科Ninetech

RPA 超自动化 流程挖掘

启科 QuTrunk+Runtime+QuSaaS+亚马逊云科技量子计算编程实战

亚马逊云科技 (Amazon Web Services)

Python 量子计算 Amazon EC2 Hero 专栏 Amazon Braket

MySQL:如何给字符串加一个高效索引?

程序员拾山

MySQL

谈谈enabled_shared_from_this

SkyFire

c++ 智能指针

设计模式之装饰者模式

程序员大彬

Java 设计模式

深入理解跨域和最佳实践分享

Crazy Urus

面试 前端 HTTP 跨域

人人都在聊的云原生数据库Serverless到底是什么?

华为云开发者联盟

数据库 Serverless 云原生 华为云 GaussDB

Lattice - 模式级复用的能力定义

原力在线

架构 lattice 高可扩展

流程的作用是服务于业务,所有不能被用来帮业务部门好好打粮食的流程,都不是好流程!

CTO技术共享

比Postman更懂中国程序员,Apipost真香!

不想敲代码

接口测试 API 研发管理工具

Databend 内幕大揭秘第二弹 - Data Source

Databend

中国国际电子商务中心与易观分析联合发布:2022年3季度全国网络零售发展指数同比增长1.5%

易观分析

零售 电商

安全事件溯源分析场景

智维数据

大数据 数据可视化 智能运维 应用交付 流量分析系统

DAPP/去中心化系统开发流程解析方案(成熟理念)分析结果

I8O28578624

流程的价值一,固化业务的最佳实践!

CTO技术共享

嘉为蓝鲸IT服务管理解决方案入选2022广东省政务服务创新解决方案

嘉为蓝鲸

自动化运维 嘉为蓝鲸 IT服务管理中心

Studio One6永久免费版本下载安装包

茶色酒

Studio One6

Amazon GuardDuty:针对AWS账户和资源的威胁检测无痕托管服务_安全_Daniel Bryant_InfoQ精选文章