写点什么

Amazon GuardDuty:针对 AWS 账户和资源的威胁检测无痕托管服务

  • 2017-12-17
  • 本文字数:1817 字

    阅读完需:约 6 分钟

在拉斯维加斯举办的 AWS re:invent 大会上,Amazon 发布了 Amazon GuardDuty 的通用版本。Amazon GuardDuty 是一项威胁检测托管服务,它可以持续监控恶意的或者未授权的行为,来帮助保护 AWS 账户和工作负载。这项服务可以跨多个 AWS 账户集中管理,并且是无痕的,即不需要安装除 AWS 资源外的其它软件或硬件。它还可以基于 GuardDuty findings(这是一种包含由 GuardDuty 发现的潜在安全问题的各种细节的通知,这些细节包括 finding 类型、问题描述、涉及的 AWS 资源、活动发生时间以及其它信息),通过配置来自动触发补救脚本或者 AWS Lamda 函数。

GuardDuty 可以在 AWS web 控制台,监控一个 AWS 账户(或者一系列账户)的活动,例如不寻常的 API 调用或者潜在的未授权的部署(这可能意味着一次账户违规操作)。GuardDuty 利用类型匹配和机器学习来进行异常检测,然后分析涵盖多个相关联的 AWS 账户中来自 AWS CloudTrail 、Amazon VPC Flow Logs DNS Logs 的事件,并将这些事件数据与一些威胁情报源结合使用。这些威胁情报源包括恶意 IP 地址列表和已知的被黑客掌控的域名列表。

GuardDuty 是无痕的,因为它不需要为了分析 AWS 账户和工作负载的活动数据而安装额外的安全软件或基础设施,这项服务完全在 AWS 基础设施上运行,而且根据 GuardDuty FAQ ,它不会影响客户的工作负载的性能和可靠性。

基于 GuardDuty findings,通过配置可以自动触发补救脚本或 AWS Lambda 函数,触发的事件的负载信息包括受影响的资源的详细信息,例如标签、安全组以及凭据。GuardDuty findings 也包含攻击者的信息,例如 IP 地址和地理位置。这种机制使得 GuardDuty findings 可以被推送到诸如 Sumo logic 或 PagerDuty 之类的事件管理系统,也可以被推送到类似 JIRA 或 Slack 之类的工作流系统。 AWS 博客称,这项功能使得安全团队可以针对攻击定义自动响应动作,并且可以跨一个组织内的所有账户集中实现这一点。

可以从跨多个账户的单个控制台视图来管理 GuardDuty 和进行威胁分流,但是应该提到的是,GuardDuty 是一个区域性的服务,尽管可以使用多个账号和多个区域,但是安全发现会保留在生成其基础数据的同一个区域。这保证了,所有被分析的数据都是基于特定区域的,而且不会跨 AWS 区域边界。如果跨 AWS 区域边界则可能违反区域法规,例如即将施行的欧盟GDPR (General Data Protection Regulation,通用数据保护条例)。客户可以选择,通过利用 AWS CloudWatch Events ,将发现的信息推送到客户控制的数据仓库,例如 Amazon S3,然后再进行聚集的方式,聚集由 Amazon GuardDuty 发现的跨多个区域的安全信息。

GardDuty 也会寻找与恶意实体或服务会话的被病毒感染的 EC2 实例、数据渗透尝试、正在挖掘加密货币的实例。使用(或实例化)被感染的 EC2 实例来进行比特币挖矿,已经成为一种针对防护力弱的账户的攻击方向很多年了,而这种攻击会导致大量(昂贵的)系统资源被占用。

AWS 在他们的《管理 AWS 访问密钥的最佳实践( Best Practices for Managing AWS Acess Keys )》文档中明确警告,任何拥有账户密钥的人都会有和账户所属客户同样级别的访问权限。AWS 声明他们会“竭尽全力保护您的访问密钥”,同时根据平台的责任共担模型,所有客户也应该尽可能保护好自己的访问密钥。一些开源解决方案,例如AWS Lab 的git-secret 项目,可以创建Git pre-commit 钩子,将要提交的数据解析成类似AWS 密钥的模式,然后阻止提交(如果密钥不正确的话)。

在过去几年中,公司泄漏存储在公有云上的数据的公开事件不断增加,这通常集中是由于对AWS 的S3 对象存储服务的错误配置(配置成公开访问的)而引起的。AWS 最近发布了 Amazon Macie ,一项基于机器学习的安全服务,可以发现、分类并保护 S3 中的敏感信息。这项服务可以作为 GuardDuty 提供的更广泛的保护的补充。

Amazon GuardDuty 从两个维度收费:分析的 AWS Cloud Events 数量(每 1,000,000 个事件为一个单位);以及分析的 Amazon VPC Flow Logs 和 DNS Logs 的容量(每 GB 为一个单位)。

Amazon GuardDuty 目前在多个区域内通用,更多关于这项服务的信息可以在它的产品页找到。

查看英文原文: Amazon GuardDuty: A Zero-Footprint Managed Threat Detection Service for AWS Accounts and Resources


感谢罗远航对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-12-17 18:003170

评论

发布
暂无评论
发现更多内容

Go Gorm Sqlite3 CreateInBatches 报错:too many SQL variable 排查与解决

非晓为骁

Go gorm sqlite3 CreateInBatches

存量时代下 用低代码开发平台提升你的CEM

力软低代码开发平台

集团型企业主数据管理框架、方法

用友BIP

重磅 | 九科信息入选“第一新声”2022年中国RPA行业优秀厂商图谱

九科Ninetech

简单易用的监控告警系统 | HertzBeat 在 Rainbond 上的使用分享

北京好雨科技有限公司

webAssembly on server side 的应用场景

磊吐槽

云原生 webassembly

居家办公正确的打开方式——华为云桌面

与时俱进的时代

华为云会议助力政企用户提升沟通效率

科技说

致力程序员成长,阿里大佬“亲码”Java全栈架构笔记,差距不止一点点

程序员小毕

程序员 程序人生 后端 架构师 java面试

安全灵活,华为云桌面成为数字化办公最佳搭档

清欢科技

What's new in dubbo-go v3.0.4

apache/dubbo-go

dubbo Dubbo服务 Dubbo网关

「实操」适配 NebulaGraph 新版本与压测实践

NebulaGraph

图数据库

华为云Workspace树立云服务模式新标杆

科技怪授

华为云桌面,为企业数字化办公添砖加瓦!

科技怪授

华为云桌面Workspace,如何让用户安全高效云上办公?

科技怪授

灵活、高效、可靠,华为云桌面想用户所想!

与时俱进的时代

华为云桌面——云上办公安全高效,高清流畅

与时俱进的时代

流畅高清,华为云桌面助力设计师高效办公!

与时俱进的时代

华为云会议,总有一种场景满足你的需求

科技说

华为云助力中建一局会议上云,沟通协同更高效!

IT科技苏辞

华为云桌面,助您解锁轻松高效办公模式

科技怪授

云服务器评测:这个双十二,哪个云服务器值得买?

科技热闻

英特尔推出oneAPI 2023工具包,显著提升跨平台生产力

科技热闻

英特尔推动办公场景智能升级,助力企业数字化转型

科技热闻

2022 卡塔尔世界杯收官,中国 App 继续中东「征战」

融云 RongCloud

App

有奖征文活动:从 RTC 到 RTE,从音视频到「实时万象」!

声网

人工智能 音视频

2022年最有价值书单

月亮上的六便士

好书推荐

gitlab ldap配置

阿呆

gitlab ldap

上云合作伙伴,华为云桌面致力打造优质云上办公生态

与时俱进的时代

开源创新 源起潮“蜥”——龙蜥社区走进浪潮信息 MeetUp 即将开幕

OpenAnolis小助手

云原生 Meetup 龙蜥社区 浪潮信息 开源活动

华为云会议好评如潮的背后,竟然暗藏这么多黑科技!

科技说

Amazon GuardDuty:针对AWS账户和资源的威胁检测无痕托管服务_安全_Daniel Bryant_InfoQ精选文章