• 关于我们 联系我们
当前位置:新闻中心行业动态 → 正文

Amazon GuardDuty:针对AWS账户和资源的威胁检测无痕托管服务

责任编辑:editor004 作者:Daniel Bryant |来源:企业网D1Net  2017-12-18 11:21:41 本文摘自:INFOQ

在拉斯维加斯举办的AWS re:invent大会上,Amazon发布了Amazon GuardDuty的通用版本。Amazon GuardDuty是一项威胁检测托管服务,它可以持续监控恶意的或者未授权的行为,来帮助保护AWS账户和工作负载。这项服务可以跨多个AWS账户集中管理,并且是无痕的,即不需要安装除AWS资源外的其它软件或硬件。它还可以基于GuardDuty findings(这是一种包含由GuardDuty发现的潜在安全问题的各种细节的通知,这些细节包括finding类型、问题描述、涉及的AWS资源、活动发生时间以及其它信息),通过配置来自动触发补救脚本或者AWS Lamda函数。

GuardDuty可以在AWS web控制台,监控一个AWS账户(或者一系列账户)的活动,例如不寻常的API调用或者潜在的未授权的部署(这可能意味着一次账户违规操作)。GuardDuty利用类型匹配和机器学习来进行异常检测,然后分析涵盖多个相关联的AWS账户中来自AWS CloudTrail、Amazon VPC Flow Logs和DNS Logs的事件,并将这些事件数据与一些威胁情报源结合使用。这些威胁情报源包括恶意IP地址列表和已知的被黑客掌控的域名列表。

GuardDuty是无痕的,因为它不需要为了分析AWS账户和工作负载的活动数据而安装额外的安全软件或基础设施,这项服务完全在AWS基础设施上运行,而且根据GuardDuty FAQ,它不会影响客户的工作负载的性能和可靠性。

基于GuardDuty findings,通过配置可以自动触发补救脚本或AWS Lambda函数,触发的事件的负载信息包括受影响的资源的详细信息,例如标签、安全组以及凭据。GuardDuty findings也包含攻击者的信息,例如IP地址和地理位置。这种机制使得GuardDuty findings可以被推送到诸如Sumo logic或PagerDuty之类的事件管理系统,也可以被推送到类似JIRA或Slack之类的工作流系统。AWS博客称,这项功能使得安全团队可以针对攻击定义自动响应动作,并且可以跨一个组织内的所有账户集中实现这一点。

可以从跨多个账户的单个控制台视图来管理GuardDuty和进行威胁分流,但是应该提到的是,GuardDuty是一个区域性的服务,尽管可以使用多个账号和多个区域,但是安全发现会保留在生成其基础数据的同一个区域。这保证了,所有被分析的数据都是基于特定区域的,而且不会跨AWS区域边界。如果跨AWS区域边界则可能违反区域法规,例如即将施行的欧盟GDPR(General Data Protection Regulation,通用数据保护条例)。客户可以选择,通过利用AWS CloudWatch Events,将发现的信息推送到客户控制的数据仓库,例如Amazon S3,然后再进行聚集的方式,聚集由Amazon GuardDuty发现的跨多个区域的安全信息。

GardDuty也会寻找与恶意实体或服务会话的被病毒感染的EC2实例、数据渗透尝试、正在挖掘加密货币的实例。使用(或实例化)被感染的EC2实例来进行比特币挖矿,已经成为一种针对防护力弱的账户的攻击方向很多年了,而这种攻击会导致大量(昂贵的)系统资源被占用。

AWS在他们的《管理AWS访问密钥的最佳实践(Best Practices for Managing AWS Acess Keys)》文档中明确警告,任何拥有账户密钥的人都会有和账户所属客户同样级别的访问权限。AWS声明他们会“竭尽全力保护您的访问密钥”,同时根据平台的责任共担模型,所有客户也应该尽可能保护好自己的访问密钥。一些开源解决方案,例如AWS Lab的git-secret项目,可以创建Git pre-commit钩子,将要提交的数据解析成类似AWS密钥的模式,然后阻止提交(如果密钥不正确的话)。

在过去几年中,公司泄漏存储在公有云上的数据的公开事件不断增加,这通常集中是由于对AWS的S3对象存储服务的错误配置(配置成公开访问的)而引起的。AWS最近发布了Amazon Macie,一项基于机器学习的安全服务,可以发现、分类并保护S3中的敏感信息。这项服务可以作为GuardDuty提供的更广泛的保护的补充。

Amazon GuardDuty从两个维度收费:分析的AWS Cloud Events数量(每1,000,000个事件为一个单位);以及分析的Amazon VPC Flow Logs和DNS Logs的容量(每GB为一个单位)。

Amazon GuardDuty目前在多个区域内通用,更多关于这项服务的信息可以在它的产品页找到。

查看英文原文:Amazon GuardDuty: A Zero-Footprint Managed Threat Detection Service for AWS Accounts and Resources

关键字:AWSGuardDutyAmazon

本文摘自:INFOQ

x Amazon GuardDuty:针对AWS账户和资源的威胁检测无痕托管服务 扫一扫
分享本文到朋友圈
当前位置:新闻中心行业动态 → 正文

Amazon GuardDuty:针对AWS账户和资源的威胁检测无痕托管服务

责任编辑:editor004 作者:Daniel Bryant |来源:企业网D1Net  2017-12-18 11:21:41 本文摘自:INFOQ

在拉斯维加斯举办的AWS re:invent大会上,Amazon发布了Amazon GuardDuty的通用版本。Amazon GuardDuty是一项威胁检测托管服务,它可以持续监控恶意的或者未授权的行为,来帮助保护AWS账户和工作负载。这项服务可以跨多个AWS账户集中管理,并且是无痕的,即不需要安装除AWS资源外的其它软件或硬件。它还可以基于GuardDuty findings(这是一种包含由GuardDuty发现的潜在安全问题的各种细节的通知,这些细节包括finding类型、问题描述、涉及的AWS资源、活动发生时间以及其它信息),通过配置来自动触发补救脚本或者AWS Lamda函数。

GuardDuty可以在AWS web控制台,监控一个AWS账户(或者一系列账户)的活动,例如不寻常的API调用或者潜在的未授权的部署(这可能意味着一次账户违规操作)。GuardDuty利用类型匹配和机器学习来进行异常检测,然后分析涵盖多个相关联的AWS账户中来自AWS CloudTrail、Amazon VPC Flow Logs和DNS Logs的事件,并将这些事件数据与一些威胁情报源结合使用。这些威胁情报源包括恶意IP地址列表和已知的被黑客掌控的域名列表。

GuardDuty是无痕的,因为它不需要为了分析AWS账户和工作负载的活动数据而安装额外的安全软件或基础设施,这项服务完全在AWS基础设施上运行,而且根据GuardDuty FAQ,它不会影响客户的工作负载的性能和可靠性。

基于GuardDuty findings,通过配置可以自动触发补救脚本或AWS Lambda函数,触发的事件的负载信息包括受影响的资源的详细信息,例如标签、安全组以及凭据。GuardDuty findings也包含攻击者的信息,例如IP地址和地理位置。这种机制使得GuardDuty findings可以被推送到诸如Sumo logic或PagerDuty之类的事件管理系统,也可以被推送到类似JIRA或Slack之类的工作流系统。AWS博客称,这项功能使得安全团队可以针对攻击定义自动响应动作,并且可以跨一个组织内的所有账户集中实现这一点。

可以从跨多个账户的单个控制台视图来管理GuardDuty和进行威胁分流,但是应该提到的是,GuardDuty是一个区域性的服务,尽管可以使用多个账号和多个区域,但是安全发现会保留在生成其基础数据的同一个区域。这保证了,所有被分析的数据都是基于特定区域的,而且不会跨AWS区域边界。如果跨AWS区域边界则可能违反区域法规,例如即将施行的欧盟GDPR(General Data Protection Regulation,通用数据保护条例)。客户可以选择,通过利用AWS CloudWatch Events,将发现的信息推送到客户控制的数据仓库,例如Amazon S3,然后再进行聚集的方式,聚集由Amazon GuardDuty发现的跨多个区域的安全信息。

GardDuty也会寻找与恶意实体或服务会话的被病毒感染的EC2实例、数据渗透尝试、正在挖掘加密货币的实例。使用(或实例化)被感染的EC2实例来进行比特币挖矿,已经成为一种针对防护力弱的账户的攻击方向很多年了,而这种攻击会导致大量(昂贵的)系统资源被占用。

AWS在他们的《管理AWS访问密钥的最佳实践(Best Practices for Managing AWS Acess Keys)》文档中明确警告,任何拥有账户密钥的人都会有和账户所属客户同样级别的访问权限。AWS声明他们会“竭尽全力保护您的访问密钥”,同时根据平台的责任共担模型,所有客户也应该尽可能保护好自己的访问密钥。一些开源解决方案,例如AWS Lab的git-secret项目,可以创建Git pre-commit钩子,将要提交的数据解析成类似AWS密钥的模式,然后阻止提交(如果密钥不正确的话)。

在过去几年中,公司泄漏存储在公有云上的数据的公开事件不断增加,这通常集中是由于对AWS的S3对象存储服务的错误配置(配置成公开访问的)而引起的。AWS最近发布了Amazon Macie,一项基于机器学习的安全服务,可以发现、分类并保护S3中的敏感信息。这项服务可以作为GuardDuty提供的更广泛的保护的补充。

Amazon GuardDuty从两个维度收费:分析的AWS Cloud Events数量(每1,000,000个事件为一个单位);以及分析的Amazon VPC Flow Logs和DNS Logs的容量(每GB为一个单位)。

Amazon GuardDuty目前在多个区域内通用,更多关于这项服务的信息可以在它的产品页找到。

查看英文原文:Amazon GuardDuty: A Zero-Footprint Managed Threat Detection Service for AWS Accounts and Resources

关键字:AWSGuardDutyAmazon

本文摘自:INFOQ

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^