Amazon GuardDuty aktualnie obsługuje Amazon EKS Runtime Monitoring

30 marca 2023

Od czasu uruchomienia Amazon GuardDuty w 2017 roku, GuardDuty jest w stanie analizować dziesiątki miliardów zdarzeń na minutę w wielu źródłach danych AWS, takich jak dzienniki zdarzeń AWS CloudTrail, logi przepływu Amazon Virtual Private Cloud (Amazon VPC) i dzienniki zapytań DNS, Amazon Simple Storage Service (Amazon S3), dzienniki audytu Amazon Elastic Kubernetes Service (Amazon EKS) oraz zdarzenia logowania Amazon Relational Database Service (Amazon RDS) w celu ochrony kont i zasobów AWS.

W 2020 roku GuardDuty dodał ochronę Amazon S3, aby stale monitorować i profilować zdarzenia i konfiguracje dostępu do danych S3 w celu wykrywania podejrzanych działań w Amazon S3. W zeszłym roku GuardDuty uruchomił ochronę Amazon EKS w celu monitorowania aktywności płaszczyzny kontrolnej poprzez analizę dzienników audytu Kubernetes z istniejących i nowych klastrów EKS na twoich kontach, ochronę przed złośliwym oprogramowaniem Amazon EBS w celu skanowania złośliwych plików znajdujących się w instancji EC2 lub obciążeniu kontenera przy użyciu woluminów EBS oraz Amazon RDS protection w celu identyfikowania potencjalnych zagrożeń dla danych przechowywanych w bazach danych Amazon Aurora – od niedawna ogólnie dostępnej.

Amazon GuardDuty aktualnie obsługuje Amazon EKS Runtime Monitoring

GuardDuty łączy uczenie maszynowe (ML), wykrywanie anomalii, monitorowanie sieci i wykrywanie złośliwych plików przy użyciu różnych źródeł danych AWS. Gdy zagrożenia zostaną wykryte, GuardDuty automatycznie wysyła ustalenia dotyczące bezpieczeństwa do AWS Security Hub, Amazon EventBridge i Amazon Detective. Te integracje pomagają scentralizować monitorowanie AWS i usług partnerskich, automatyzować odpowiedzi na wykrycia złośliwego oprogramowania i przeprowadzać dochodzenia bezpieczeństwa z GuardDuty.

Z dniem dzisiejszym twórcy ogłaszają ogólną dostępność usługi Amazon GuardDuty EKS Runtime Monitoring, która wykrywa zagrożenia środowiska uruchomieniowego na podstawie ponad 30 ustaleń dotyczących bezpieczeństwa w celu ochrony klastrów EKS. Nowe monitorowanie środowiska wykonawczego EKS wykorzystuje w pełni zarządzany dodatek EKS, który zapewnia wgląd w poszczególne działania środowiska uruchomieniowego kontenera, takie jak dostęp do plików, wykonywanie procesów i połączenia sieciowe.

GuardDuty może teraz identyfikować określone kontenery w klastrach EKS, które są potencjalnie zagrożone, i wykrywać próby eskalacji uprawnień z pojedynczego kontenera do podstawowego hosta Amazon EC2 i szerszego środowiska AWS. Wyniki monitoringu środowiska uruchomieniowego GuardDuty EKS zapewniają kontekst metadanych w celu identyfikacji potencjalnych zagrożeń i powstrzymania ich przed eskalacją.

Skonfiguruj EKS Runtime Monitoring w GuardDuty

Aby rozpocząć, najpierw włącz EKS Runtime Monitoring za pomocą kilku kliknięć w konsoli GuardDuty.

Skonfiguruj EKS Runtime Monitoring w GuardDuty

Po włączeniu monitorowania środowiska uruchomieniowego EKS, GuardDuty może rozpocząć monitorowanie i analizowanie zdarzeń działania w czasie wykonywania dla wszystkich istniejących i nowych klastrów EKS dla Twoich kont. Jeśli chcesz, aby GuardDuty wdrożył i zaktualizował wymagany dodatek zarządzany przez EKS dla wszystkich istniejących i nowych klastrów EKS na Twoim koncie, wybierz Automatycznie zarządzaj agentem. Spowoduje to również utworzenie punktu końcowego VPC, za pośrednictwem którego agent bezpieczeństwa dostarcza zdarzenia środowiska wykonawczego do GuardDuty.

W przypadku jednoczesnego skonfigurowania monitorowania dziennika audytu EKS i monitorowania środowiska uruchomieniowego można uzyskać optymalną ochronę EKS zarówno na poziomie płaszczyzny kontroli klastra, jak i na poziomie systemu operacyjnego poszczególnych zasobników lub kontenerów. Gdy stosowane razem, wykrywanie zagrożeń będzie bardziej kontekstowe, aby umożliwić szybkie ustalanie priorytetów i reagowanie. Na przykład wykrywanie oparte na środowisku wykonawczym na zasobniku wykazującym podejrzane zachowanie można rozszerzyć o wykrywanie oparte na dzienniku kontroli, wskazujące, że zasobnik został nietypowo uruchomiony z wysokimi uprawnieniami.

Te opcje są domyślne, ale z powodzeniem można je konfigurować. Możesz również odznaczyć jedno z pól, aby wyłączyć monitorowanie środowiska wykonawczego EKS. Po wyłączeniu monitorowania środowiska wykonawczego EKS, GuardDuty natychmiast zatrzymuje monitorowanie i analizowanie zdarzeń działania w czasie wykonywania dla wszystkich istniejących klastrów EKS. Jeśli skonfigurowano automatyczne zarządzanie agentami za pomocą GuardDuty, ta czynność usuwa również agenta bezpieczeństwa wdrożonego przez GuardDuty.

Aby dowiedzieć się więcej, Configuring EKS Runtime Monitoring w dokumentacji AWS.

Zarządzaj GuardDuty Agent ręcznie

Jeśli chcesz ręcznie wdrożyć i zaktualizować zarządzany dodatek EKS, w tym agenta GuardDuty, na klaster na swoim koncie, odznacz opcję Zarządzaj agentem automatycznie w konfiguracji ochrony EKS.

W przypadku ręcznego zarządzania dodatkiem odpowiadasz również za utworzenie punktu końcowego VPC, za pośrednictwem którego agent bezpieczeństwa dostarcza zdarzenia wykonawcze do GuardDuty. W konsoli punktu końcowego VPC wybierz Utwórz punkt końcowy. W kroku wybierz Inne usługi punktu końcowego dla kategorii Usługa, wprowadź enter com.amazonaws.us-east-1.guardduty-data dla Nazwa usługi w regionie Wschodnie stany USA (Wirginia Północna) i wybierz opcję Weryfikuj usługę.

Zarządzaj GuardDuty Agent ręcznie

Po pomyślnym zweryfikowaniu nazwy usługi wybierz VPC i podsieci, w których znajduje się Twój klaster EKS. W sekcji Ustawienia dodatkowe wybierz opcję Włącz nazwę DNS. W obszarze Grupy zabezpieczeń wybierz grupę zabezpieczeń z włączonym portem przychodzącym 443 z VPC (lub klastra EKS).

 

Dodaj następującą zasadę, aby ograniczyć użycie punktu końcowego VPC tylko do określonego konta:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Action": "*",
			"Resource": "*",
			"Effect": "Allow",
			"Principal": "*"
		},
		{
			"Condition": {
				"StringNotEquals": {
					"aws:PrincipalAccount": "123456789012"
				}
			},
			"Action": "*",
			"Resource": "*",
			"Effect": "Deny",
			"Principal": "*"
		}
	]
}

Teraz możesz zainstalować dodatek Amazon GuardDuty EKS Runtime Monitoring dla swoich klastrów EKS. Wybierz ten dodatek na karcie Dodatki w profilu klastra EKS na konsoli Amazon EKS.

Amazon GuardDuty EKS Runtime Monitoring

Po włączeniu monitorowania środowiska wykonawczego EKS w GuardDuty i wdrożeniu dodatku Amazon EKS dla klastra EKS możliwe jest wyświetlenie nowych podów z prefiksem aws-guardduty-agent. GuardDuty zaczyna teraz wykorzystywać zdarzenia aktywności w czasie wykonywania ze wszystkich hostów i kontenerów EC2 w klastrze. GuardDuty następnie analizuje te zdarzenia pod kątem potencjalnych zagrożeń.

EKS w GuardDuty

Te pody zbierają różne typy zdarzeń i wysyłają je do zaplecza GuardDuty w celu wykrycia i analizy zagrożeń. Podczas ręcznego zarządzania dodatkiem musisz wykonać te kroki dla każdego klastra EKS, który chcesz monitorować, w tym dla nowych klastrów EKS.

Aby dowiedzieć się więcej, zobacz Ręczne zarządzanie agentem GuardDuty w dokumentacji AWS.

Sprawdź wyniki zabezpieczeń EKS Runtime

Gdy GuardDuty wykryje potencjalne zagrożenie i wygeneruje wyniki dotyczące bezpieczeństwa, możesz wyświetlić szczegóły odpowiednich wyników. Te ustalenia dotyczące bezpieczeństwa wskazują na przejętą instancję EC2, obciążenie kontenera, klaster EKS lub zestaw przejętych danych uwierzytelniających w Twoim środowisku AWS.

Jeśli chcesz wygenerować przykładowe wyniki EKS Runtime Monitoring do celów testowych, zobacz Generating sample findings in GuardDuty w dokumentacji AWS. Oto przykład potencjalnych problemów z bezpieczeństwem: zrealizowano nowo utworzony lub niedawno zmodyfikowany plik binarny w klastrze EKS.

Sprawdź wyniki zabezpieczeń EKS Runtime

Typ zasobu dla typu znalezienia ochrony EKS może być Instancją, EKSCluster lub Kontenerem. Jeśli typ zasobu w szczegółach wyszukiwania to EKSCluster, oznacza to, że zagrożony jest pod lub kontener w klastrze EKS. W zależności od potencjalnie zagrożonego typu zasobu szczegóły wyszukiwania mogą zawierać szczegóły obciążenia Kubernetes, szczegóły klastra EKS lub szczegóły instancji.

Sprawdź wyniki zabezpieczeń EKS Runtime

Szczegóły środowiska wykonawczego, takie jak szczegóły procesu i wymagany kontekst, opisują informacje o obserwowanym procesie, a kontekst środowiska wykonawczego opisuje wszelkie dodatkowe informacje o potencjalnie podejrzanej aktywności.

Sprawdź wyniki zabezpieczeń EKS Runtime

Aby naprawić zagrożony obraz zasobnika lub kontenera, zobacz see Remediating EKS Runtime Monitoring findings w dokumentacji AWS. W tym dokumencie opisano zalecane kroki zaradcze dla każdego typu zasobu. Aby dowiedzieć się więcej o typach wyszukiwania zabezpieczeń, zobacz Typy wyszukiwania GuardDuty EKS Runtime Monitoring w dokumentacji AWS.

Już dostępne

Możesz teraz korzystać z Amazon GuardDuty w celu monitorowania środowiska wykonawczego EKS. Aby uzyskać pełną listę regionów, w których dostępne jest monitorowanie środowiska wykonawczego EKS, odwiedź dostępność funkcji specyficznych dla regionu.

Pierwsze 30 dni GuardDuty dla EKS Runtime Monitoring jest dostępne bez dodatkowych opłat dla istniejących kont GuardDuty. Jeśli po raz pierwszy aktywowałeś GuardDuty, monitorowanie środowiska wykonawczego EKS nie jest domyślnie włączone i należy je włączyć zgodnie z powyższym opisem. Po zakończeniu okresu próbnego w GuardDuty możesz zobaczyć szacunkowy koszt EKS Runtime Monitoring. Aby dowiedzieć się więcej, zobacz stronę z cennikiem GuardDuty.

Aby uzyskać więcej informacji, zapoznaj się z Podręcznikiem użytkownika Amazon GuardDuty

źródło: AWS

 

Case Studies
Referencje

Firma Hostersi pozwoliła nam osadzić ogólne zagadnienia programu Well Architected Framework w kontekście naszej firmy. Oszczędziło nam to wiele czasu i pozwoliło znaleźć lepiej dopasowane rozwiązania do specyfiki naszego biznesu. WAF był świetnym katalizatorem do wprowadzenie szeregu zmian w obszarze niezawodności, szybkości i bezpieczeństwa edrone. 

Piotr Stachowicz
CTO
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.