Amazon GuardDuty:针对 AWS 账户和资源的威胁检测无痕托管服务

阅读数:177 2017 年 12 月 17 日

话题:安全AWSDevOps架构

在拉斯维加斯举办的AWS re:invent大会上,Amazon 发布了Amazon GuardDuty的通用版本。Amazon GuardDuty 是一项威胁检测托管服务,它可以持续监控恶意的或者未授权的行为,来帮助保护 AWS 账户和工作负载。这项服务可以跨多个 AWS 账户集中管理,并且是无痕的,即不需要安装除 AWS 资源外的其它软件或硬件。它还可以基于 GuardDuty findings(这是一种包含由 GuardDuty 发现的潜在安全问题的各种细节的通知,这些细节包括 finding 类型、问题描述、涉及的 AWS 资源、活动发生时间以及其它信息),通过配置来自动触发补救脚本或者 AWS Lamda 函数。

GuardDuty 可以在 AWS web 控制台,监控一个 AWS 账户(或者一系列账户)的活动,例如不寻常的 API 调用或者潜在的未授权的部署(这可能意味着一次账户违规操作)。GuardDuty 利用类型匹配和机器学习来进行异常检测,然后分析涵盖多个相关联的 AWS 账户中来自AWS CloudTrail、Amazon VPC Flow LogsDNS Logs的事件,并将这些事件数据与一些威胁情报源结合使用。这些威胁情报源包括恶意 IP 地址列表和已知的被黑客掌控的域名列表。

GuardDuty 是无痕的,因为它不需要为了分析 AWS 账户和工作负载的活动数据而安装额外的安全软件或基础设施,这项服务完全在 AWS 基础设施上运行,而且根据GuardDuty FAQ,它不会影响客户的工作负载的性能和可靠性。

基于 GuardDuty findings,通过配置可以自动触发补救脚本或AWS Lambda 函数,触发的事件的负载信息包括受影响的资源的详细信息,例如标签、安全组以及凭据。GuardDuty findings 也包含攻击者的信息,例如 IP 地址和地理位置。这种机制使得 GuardDuty findings 可以被推送到诸如 Sumo logic 或 PagerDuty 之类的事件管理系统,也可以被推送到类似 JIRA 或 Slack 之类的工作流系统。AWS 博客称,这项功能使得安全团队可以针对攻击定义自动响应动作,并且可以跨一个组织内的所有账户集中实现这一点。

可以从跨多个账户的单个控制台视图来管理 GuardDuty 和进行威胁分流,但是应该提到的是,GuardDuty 是一个区域性的服务,尽管可以使用多个账号和多个区域,但是安全发现会保留在生成其基础数据的同一个区域。这保证了,所有被分析的数据都是基于特定区域的,而且不会跨 AWS 区域边界。如果跨 AWS 区域边界则可能违反区域法规,例如即将施行的欧盟 GDPR(General Data Protection Regulation,通用数据保护条例)。客户可以选择,通过利用AWS CloudWatch Events,将发现的信息推送到客户控制的数据仓库,例如 Amazon S3,然后再进行聚集的方式,聚集由 Amazon GuardDuty 发现的跨多个区域的安全信息。

GardDuty 也会寻找与恶意实体或服务会话的被病毒感染的 EC2 实例、数据渗透尝试、正在挖掘加密货币的实例。使用(或实例化)被感染的 EC2 实例来进行比特币挖矿,已经成为一种针对防护力弱的账户的攻击方向很多年了,而这种攻击会导致大量(昂贵的)系统资源被占用。

AWS 在他们的《管理 AWS 访问密钥的最佳实践(Best Practices for Managing AWS Acess Keys)》文档中明确警告,任何拥有账户密钥的人都会有和账户所属客户同样级别的访问权限。AWS 声明他们会“竭尽全力保护您的访问密钥”,同时根据平台的责任共担模型,所有客户也应该尽可能保护好自己的访问密钥。一些开源解决方案,例如 AWS Lab 的 git-secret 项目,可以创建 Git pre-commit 钩子,将要提交的数据解析成类似 AWS 密钥的模式,然后阻止提交(如果密钥不正确的话)。

在过去几年中,公司泄漏存储在公有云上的数据的公开事件不断增加,这通常集中是由于对 AWS 的 S3 对象存储服务的错误配置(配置成公开访问的)而引起的。AWS 最近发布了Amazon Macie,一项基于机器学习的安全服务,可以发现、分类并保护 S3 中的敏感信息。这项服务可以作为 GuardDuty 提供的更广泛的保护的补充。

Amazon GuardDuty 从两个维度收费:分析的 AWS Cloud Events 数量(每 1,000,000 个事件为一个单位);以及分析的 Amazon VPC Flow Logs 和 DNS Logs 的容量(每 GB 为一个单位)。

Amazon GuardDuty目前在多个区域内通用,更多关于这项服务的信息可以在它的产品页找到。

查看英文原文:Amazon GuardDuty: A Zero-Footprint Managed Threat Detection Service for AWS Accounts and Resources


感谢罗远航对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。