在拉斯維加斯舉辦的AWS re:invent大會(huì)上,Amazon發(fā)布了Amazon GuardDuty的通用版本。Amazon GuardDuty是一項(xiàng)威脅檢測托管服務(wù),它可以持續(xù)監(jiān)控惡意的或者未授權(quán)的行為,來幫助保護(hù)AWS賬戶和工作負(fù)載。這項(xiàng)服務(wù)可以跨多個(gè)AWS賬戶集中管理,并且是無痕的,即不需要安裝除AWS資源外的其它軟件或硬件。它還可以基于GuardDuty findings(這是一種包含由GuardDuty發(fā)現(xiàn)的潛在安全問題的各種細(xì)節(jié)的通知,這些細(xì)節(jié)包括finding類型、問題描述、涉及的AWS資源、活動(dòng)發(fā)生時(shí)間以及其它信息),通過配置來自動(dòng)觸發(fā)補(bǔ)救腳本或者AWS Lamda函數(shù)。
GuardDuty可以在AWS web控制臺(tái),監(jiān)控一個(gè)AWS賬戶(或者一系列賬戶)的活動(dòng),例如不尋常的API調(diào)用或者潛在的未授權(quán)的部署(這可能意味著一次賬戶違規(guī)操作)。GuardDuty利用類型匹配和機(jī)器學(xué)習(xí)來進(jìn)行異常檢測,然后分析涵蓋多個(gè)相關(guān)聯(lián)的AWS賬戶中來自AWS CloudTrail、Amazon VPC Flow Logs和DNS Logs的事件,并將這些事件數(shù)據(jù)與一些威脅情報(bào)源結(jié)合使用。這些威脅情報(bào)源包括惡意IP地址列表和已知的被黑客掌控的域名列表。
GuardDuty是無痕的,因?yàn)樗恍枰獮榱朔治鯝WS賬戶和工作負(fù)載的活動(dòng)數(shù)據(jù)而安裝額外的安全軟件或基礎(chǔ)設(shè)施,這項(xiàng)服務(wù)完全在AWS基礎(chǔ)設(shè)施上運(yùn)行,而且根據(jù)GuardDuty FAQ,它不會(huì)影響客戶的工作負(fù)載的性能和可靠性。
基于GuardDuty findings,通過配置可以自動(dòng)觸發(fā)補(bǔ)救腳本或AWS Lambda函數(shù),觸發(fā)的事件的負(fù)載信息包括受影響的資源的詳細(xì)信息,例如標(biāo)簽、安全組以及憑據(jù)。GuardDuty findings也包含攻擊者的信息,例如IP地址和地理位置。這種機(jī)制使得GuardDuty findings可以被推送到諸如Sumo logic或PagerDuty之類的事件管理系統(tǒng),也可以被推送到類似JIRA或Slack之類的工作流系統(tǒng)。AWS博客稱,這項(xiàng)功能使得安全團(tuán)隊(duì)可以針對攻擊定義自動(dòng)響應(yīng)動(dòng)作,并且可以跨一個(gè)組織內(nèi)的所有賬戶集中實(shí)現(xiàn)這一點(diǎn)。
可以從跨多個(gè)賬戶的單個(gè)控制臺(tái)視圖來管理GuardDuty和進(jìn)行威脅分流,但是應(yīng)該提到的是,GuardDuty是一個(gè)區(qū)域性的服務(wù),盡管可以使用多個(gè)賬號和多個(gè)區(qū)域,但是安全發(fā)現(xiàn)會(huì)保留在生成其基礎(chǔ)數(shù)據(jù)的同一個(gè)區(qū)域。這保證了,所有被分析的數(shù)據(jù)都是基于特定區(qū)域的,而且不會(huì)跨AWS區(qū)域邊界。如果跨AWS區(qū)域邊界則可能違反區(qū)域法規(guī),例如即將施行的歐盟GDPR(General Data Protection Regulation,通用數(shù)據(jù)保護(hù)條例)??蛻艨梢赃x擇,通過利用AWS CloudWatch Events,將發(fā)現(xiàn)的信息推送到客戶控制的數(shù)據(jù)倉庫,例如Amazon S3,然后再進(jìn)行聚集的方式,聚集由Amazon GuardDuty發(fā)現(xiàn)的跨多個(gè)區(qū)域的安全信息。
GardDuty也會(huì)尋找與惡意實(shí)體或服務(wù)會(huì)話的被病毒感染的EC2實(shí)例、數(shù)據(jù)滲透嘗試、正在挖掘加密貨幣的實(shí)例。使用(或?qū)嵗┍桓腥镜腅C2實(shí)例來進(jìn)行比特幣挖礦,已經(jīng)成為一種針對防護(hù)力弱的賬戶的攻擊方向很多年了,而這種攻擊會(huì)導(dǎo)致大量(昂貴的)系統(tǒng)資源被占用。
AWS在他們的《管理AWS訪問密鑰的最佳實(shí)踐(Best Practices for Managing AWS Acess Keys)》文檔中明確警告,任何擁有賬戶密鑰的人都會(huì)有和賬戶所屬客戶同樣級別的訪問權(quán)限。AWS聲明他們會(huì)“竭盡全力保護(hù)您的訪問密鑰”,同時(shí)根據(jù)平臺(tái)的責(zé)任共擔(dān)模型,所有客戶也應(yīng)該盡可能保護(hù)好自己的訪問密鑰。一些開源解決方案,例如AWS Lab的git-secret項(xiàng)目,可以創(chuàng)建Git pre-commit鉤子,將要提交的數(shù)據(jù)解析成類似AWS密鑰的模式,然后阻止提交(如果密鑰不正確的話)。
在過去幾年中,公司泄漏存儲(chǔ)在公有云上的數(shù)據(jù)的公開事件不斷增加,這通常集中是由于對AWS的S3對象存儲(chǔ)服務(wù)的錯(cuò)誤配置(配置成公開訪問的)而引起的。AWS最近發(fā)布了Amazon Macie,一項(xiàng)基于機(jī)器學(xué)習(xí)的安全服務(wù),可以發(fā)現(xiàn)、分類并保護(hù)S3中的敏感信息。這項(xiàng)服務(wù)可以作為GuardDuty提供的更廣泛的保護(hù)的補(bǔ)充。
Amazon GuardDuty從兩個(gè)維度收費(fèi):分析的AWS Cloud Events數(shù)量(每1,000,000個(gè)事件為一個(gè)單位);以及分析的Amazon VPC Flow Logs和DNS Logs的容量(每GB為一個(gè)單位)。
Amazon GuardDuty目前在多個(gè)區(qū)域內(nèi)通用,更多關(guān)于這項(xiàng)服務(wù)的信息可以在它的產(chǎn)品頁找到。
查看英文原文:Amazon GuardDuty: A Zero-Footprint Managed Threat Detection Service for AWS Accounts and Resources