亚马逊AWS官方博客

Amazon Detective 支持 Amazon EKS 上的 Kubernetes 工作负载以进行安全调查



2020 年 3 月,我们推出了 Amazon Detective,这是一项完全托管的服务,可以轻松分析、调查和快速识别潜在安全问题或可疑活动的根本原因。

Amazon Detective 持续将登录尝试、API 调用和网络流量等时间事件从 Amazon GuardDutyAWS CloudTrailAmazon Virtual Private Cloud (Amazon VPC) Flow Logs 提取到图形模型中,该模型总结了在整个 AWS 环境中观察到的资源行为和交互。我们加入了新功能,例如 AWS IAM 角色会话分析增强的 IP 地址分析Splunk 集成 Amazon S3 和 DNS 检测结果类型以及 AWS Organizations 支持

客户正在迅速转向容器,使用 Amazon Elastic Kubernetes Service (Amazon EKS). 部署 Kubernetes 工作负载。Amazon EKS 的高度编程性质可在几秒内完成数千个单独的容器部署和数百万的配置更改。为了有效保护 EKS 工作负载的安全,必须监控以 EKS 审计日志形式捕获的容器部署和配置,并将活动与用户活动和跨 AWS 账户发生的网络流量关联起来。

我们于今日宣布推出 Amazon Detective 中的新功能,以扩大在 Amazon EKS 上运行的 Kubernetes 工作负载的安全调查范围。启用此新功能后,Amazon Detective 会自动开始摄取 EKS 审计日志,以从 Amazon EKS 中的用户、应用程序控制面板处捕获针对集群、Pod、容器映像和 Kubernetes 主体(Kubernetes 用户和服务账户)的 API 活动(按时间顺序排列)。

Detective 使用 CloudTrail 自动关联用户活动和使用 Amazon VPC Flow Logs 的网络活动,而无需您手动启用、存储或保留日志。该服务从这些日志中收集关键安全信息,并将其保留在安全行为图形数据库中,从而可通过交叉引用方式快速访问十二个月的活动。Detective 提供了数据分析和可视化层,专门用于回答由行为图形数据库支持的常见安全问题,使您能够快速调查与 EKS 工作负载相关的潜在恶意行为。

您可以快速响应安全问题,而不必专注于日志管理、操作系统或持续的安全工具维护。Detective 的 EKS 功能为所有客户提供 30 天免费试用期,这使您可以确保这些功能满足自己的需求,并持续全面了解该服务的成本。

EKS 审计日志安全调查入门
要开始使用,只需在 AWS 管理控制台中单击几下,即可启用 Amazon Detective。GuardDuty 是 Amazon Detective 的先决条件。尝试启用 Detective 时,Detective 会检查您的账户是否已启用 GuardDuty。您必须启用 GuardDuty 或等待 48 小时。这可让 GuardDuty 评估您的账户产生的数据量。

您可以通过附加 AWS IAM 策略来启用自己的账户,也可以将其委派给组织的管理员。要了解更多信息,请参阅 AWS 文档中的设置 Detective

要以现有客户身份在 Detective 中启用 EKS 支持,请导航到左侧面板中的 Settings(设置)菜单,然后选择 General(常规)。在 Optional source packages(可选源软件包)下,启用 EKS audit logs(EKS 审计日志)。

如果您是 Detective 的新客户,则默认情况下将启用 EKS 保护功能。如果您不想立即试用 EKS 审计日志,可以在启用 Detective 后的第一周内禁用此功能,并保留完整的 30 天免费试用期以备将来使用。

启用后,Detective 将开始监控由 Amazon EKS 生成的 Kubernetes 审计日志,提取和关联信息以用于安全用途。您无需启用任何日志源,也无需对现有 EKS 集群或将来的部署进行任何配置更改。

您可以在 Summary(摘要)页面上查看 EKS 集群的近期监控结果。

选择其中一个 EKS 集群时,您将看到集群中运行的容器、Kubernetes API 活动以及在作用域时间内于此资源上发生的网络活动的详细信息。

Overview(概述)选项卡中,您还可以查看集群中运行的所有容器的详细信息,包括它们的 Pod、映像和安全上下文。

Kubernetes API activity(Kubernetes API 活动)选项卡中,您可以概览涉及 EKS 集群的完整 API 活动。您可以根据 EKS 集群中的特定 API 方法选择向下钻取的时间范围。选择特定时间后,您可以按成功、失败、未授权或禁止状态查看 API 主体、IP 地址和 API 调用次数。

您还可以查看该集群中首次观察到的 Kubernetes API 调用的详细信息,以及集群内部发生的卷增加的主体。

启用 GuardDuty EKS 保护
2022 年 1 月,Amazon GuardDuty 将保护范围扩大到 EKS 集群活动,以识别对容器工作负载构成潜在威胁的恶意或可疑行为。

启用可选的 GuardDuty EKS 保护后,GuardDuty 将持续监控您的 EKS 部署,并提醒您注意工作负载中检测到的威胁。您可以在 Detective 中查看和调查这些安全检测结果。

启用 Detective for EKS 后,您可以快速访问有关检测结果中所涉及资源的信息,例如它们的 CloudTrail 和 Kubernetes API 活动以及网络流信息。这有助于进行调查,并帮助您确定根本原因、影响以及其他可能遭到负面影响的相关资源。

要了解更多信息,请参阅 AWS 安全博客中的如何使用新的 Amazon GuardDuty EKS 保护检测结果

现已推出
现在,您可以在提供 Amazon Detective 的所有区域使用 Amazon Detective for EKS 保护。此功能的定价基于 Detective 处理和分析的审计日志量。

Detective 为所有启用 EKS 覆盖范围的客户提供 30 天免费试用期,使客户能够确保 Detective 的功能满足安全需求,并在承诺付费使用之前估算该服务的月度费用。要了解更多信息,请参阅 Detective 定价页面

有关技术文档,请访问 Amazon Detective 用户指南。请将反馈发送至 AWS re:Post for Amazon Detective 或通过平时的 AWS 支持联系人发送反馈。

了解有关 Amazon Detective for EKS 的所有详细信息,并且立即开始使用

Channy