Amazon Detective obsługuje obciążenia Kubernetes w Amazon EKS na potrzeby Security Investigations

8 sierpnia 2022

W marcu 2020 r. twórcy wprowadzili Amazon Detective, w pełni zarządzaną usługę, która ułatwia analizę, badanie i szybką identyfikację przyczyn potencjalnych problemów z bezpieczeństwem lub podejrzanych działań.

Amazon Detective stale wyodrębnia zdarzenia czasowe, takie jak próby logowania, wywołania API i ruch sieciowy z Amazon GuardDuty, AWS CloudTrail i Amazon Virtual Private Cloud (Amazon VPC) Flow Logs do modelu wykresu, który podsumowuje zachowania zasobów i interakcje zaobserwowane w całym Twoim Środowisku AWS. Dodano nowe funkcje, takie jak analiza sesji AWS IAM Role, ulepszona analiza adresów IP, integracja ze Splunk, typy wyszukiwania Amazon S3 i DNS oraz wsparcie dla organizacji AWS.

Klienci szybko przenoszą się do kontenerów, aby wdrażać obciążenia Kubernetes za pomocą usługi Amazon Elastic Kubernetes Service (Amazon EKS). Jego wysoce programowy charakter umożliwia wykonanie tysięcy pojedynczych wdrożeń kontenerów i milionów zmian konfiguracji w ciągu kilku sekund. Aby skutecznie zabezpieczyć obciążenia EKS, ważne jest monitorowanie wdrożeń i konfiguracji kontenerów, które są przechwytywane w postaci dzienników inspekcji EKS, oraz skorelowanie działań z aktywnością użytkowników i ruchem sieciowym na kontach AWS.

Dzisiaj autorzy przedstawiają nowe możliwości w Amazon Detective, które rozszerzają zakres dochodzenia w sprawie bezpieczeństwa dla obciążeń Kubernetes działających w Amazon EKS. Po włączeniu nowej funkcji Amazon Detective automatycznie rozpoczyna pozyskiwanie dzienników kontrolnych EKS w celu przechwytywania chronologicznej aktywności API od użytkowników, aplikacji i płaszczyzny kontroli w Amazon EKS dla klastrów, podów, obrazów kontenerów i podmiotów Kubernetes (użytkownicy Kubernetes i konta usług).

2022-detective-EKS-coverage

Detective automatycznie koreluje aktywność użytkowników za pomocą CloudTrail i aktywność sieciową za pomocą logów Amazon VPC Flow, bez konieczności ręcznego włączania, przechowywania lub przechowywania logów. Usługa zbiera kluczowe informacje o zabezpieczeniach z tych dzienników i przechowuje je w bazie danych wykresów behawioralnych zabezpieczeń, która umożliwia szybki dostęp krzyżowy nawet do dwunastu miesięcy aktywności. Detective zapewnia warstwę analizy i wizualizacji danych, stworzoną w celu odpowiadania na typowe pytania bezpieczeństwa, wspieraną przez behawioralną bazę danych wykresów, która pozwala szybko zbadać potencjalne złośliwe zachowanie związane z obciążeniami EKS.

Możesz szybko reagować na problemy z bezpieczeństwem, zamiast skupiać się na zarządzaniu dziennikami, systemami operacyjnymi lub bieżącej konserwacji narzędzi bezpieczeństwa. Możliwości Detective EKS są dostarczane z bezpłatną, 30-dniową wersją próbną dla wszystkich klientów, która pozwala upewnić się, że możliwości spełniają Twoje potrzeby i pozwalają na bieżąco w pełni rozumieć koszt usługi.

Pierwsze kroki z badaniami bezpieczeństwa dla dzienników audytu EKS

Aby rozpocząć, włącz Amazon Detective za pomocą kilku kliknięć w konsoli zarządzania AWS. GuardDuty jest warunkiem wstępnym Amazon Detective. Kiedy próbujesz włączyć Detective, ten sprawdza, czy dla Twojego konta włączono GuardDuty. Musisz włączyć GuardDuty lub poczekać 48 godzin. Dzięki temu GuardDuty jest w stanie ocenić ilość danych generowanych przez Twoje konto.

Możesz włączyć swoje konto, dołączając politykę AWS IAM lub delegując ją na administratora swojej organizacji. Aby dowiedzieć się więcej, zapoznaj się z sekcją Konfigurowanie Detective w dokumentacji AWS.

2022-detective-eks-1

Aby włączyć obsługę EKS w Detective jako istniejący klient, przejdź do menu Ustawienia w lewym panelu i wybierz Ogólne. W obszarze Opcjonalne pakiety źródłowe włącz dzienniki inspekcji EKS.

Jeśli jesteś nowym klientem Detective, funkcja ochrony EKS będzie domyślnie włączona. Jeśli nie chcesz od razu wypróbować dzienników audytu EKS, możesz wyłączyć tę funkcję w ciągu pierwszego tygodnia od włączenia Detective i zachować pełny, 30-dniowy bezpłatny okres próbny do wykorzystania w przyszłości.

2022-detective-eks-2-new

 

Po włączeniu Detective rozpocznie monitorowanie dzienników audytu Kubernetes, które są generowane przez Amazon EKS, wydobywając i korelując informacje na potrzeby korzystania z zabezpieczeń. Nie trzeba włączać żadnych źródeł dzienników ani wprowadzać zmian konfiguracji w istniejących klastrach EKS ani w przyszłych wdrożeniach.

Możesz zobaczyć ostatnie wyniki monitorowania swoich klastrów EKS w zakładce Podsumowanie.

Podsumowanie z badaniami bezpieczeństwa dla dzienników audytu EKS

Po wybraniu jednego z klastrów EKS zobaczysz szczegóły kontenerów uruchomionych w klastrze, działania interfejsu API Kubernetes i działania sieciowe, które wystąpiły w tym zasobie w okresie objętym zakresem.

Na karcie Przegląd można również wyświetlić szczegółowe informacje o wszystkich kontenerach działających w klastrze, w tym o ich podach, obrazie i kontekście zabezpieczeń.

Na karcie Przegląd można również wyświetlić szczegółowe informacje o wszystkich kontenerach działających w klastrze, w tym o ich podach, obrazie i kontekście zabezpieczeń.

Na karcie Aktywność API Kubernetes możesz uzyskać przegląd wszystkich działań API dotyczących klastra EKS. Możesz wybrać zakres czasu do drążenia danych na podstawie określonych metod interfejsu API w klastrze EKS. Po wybraniu określonej godziny możesz zobaczyć tematy API, adresy IP i liczbę wywołań API według stanu powodzenia, niepowodzenia, nieautoryzowanego lub zabronionego.

 Aktywność API Kubernetes

Możesz również zobaczyć szczegóły nowo zaobserwowanych wywołań API Kubernetes po raz pierwszy w tym klastrze oraz tematy o zwiększonej głośności, które miały miejsce wewnątrz klastra.

Aktywność API Kubernetes

Włączanie ochrony GuardDuty EKS

W styczniu 2022 r. Amazon GuardDuty rozszerzył zasięg o aktywność klastra EKS, aby zidentyfikować złośliwe lub podejrzane zachowanie, które stanowi potencjalne zagrożenia dla obciążeń kontenerów.

Włączanie ochrony GuardDuty EKS

Gdy opcjonalna ochrona GuardDuty EKS jest włączona, GuardDuty będzie stale monitorować wdrożenia EKS i ostrzegać o zagrożeniach wykrytych w obciążeniach. Możesz przeglądać i badać te ustalenia dotyczące zabezpieczeń w programie Detektyw.

Włączanie ochrony GuardDuty EKS

Po włączeniu Detective for EKS możesz szybko uzyskać dostęp do informacji o zasobach zaangażowanych w wyszukiwanie, takich jak ich aktywność CloudTrail i Kubernetes API oraz informacje o netflow. Może to pomóc w dochodzeniu i pomóc w ustaleniu pierwotnej przyczyny, wpływu i innych powiązanych zasobów, które również mogą być zagrożone.

Włączanie ochrony GuardDuty EKS

Aby dowiedzieć się więcej, zapoznaj się z How to use new Amazon GuardDuty EKS Protection findings na blogu Security AWS.

Dostępne już teraz

Możesz teraz używać Amazon Detective do ochrony przed EKS we wszystkich regionach, w których dostępny jest Amazon Detective. Ta funkcja jest wyceniana na podstawie ilości dzienników kontroli przetworzonych i przeanalizowanych przez Detective.

Detective zapewnia bezpłatną, 30-dniową wersję próbną dla wszystkich klientów, którzy korzystają z usługi EKS, umożliwiając klientom upewnienie się, że funkcje Detective spełniają potrzeby w zakresie bezpieczeństwa oraz oszacowanie miesięcznego kosztu usługi przed podjęciem decyzji o płatnym korzystaniu. Aby dowiedzieć się więcej, zobacz stronę z cennikiem Detective.

źródło: AWS

 

Case Studies
Referencje

Rekomendujemy firmę Hostersi Sp. z o.o. jako odpowiedzialnego i wykwalifikowanego partnera, dbającego o wysoki poziom obsługi klienta. Zlecenie zostało wykonane profesjonalnie, według najlepszych standardów, w bardzo krótkim czasie.

Paweł Rokicki
Managing Director
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.