TecTop
|
|
En marzo de 2020, presentamos Amazon Detective, un servicio completamente administrado que facilita el análisis, la investigación y la identificación rápida de la causa raíz de posibles problemas de seguridad o actividades sospechosas.
Amazon Detective extrae continuamente eventos temporales como intentos de inicio de sesión, llamadas a la API y tráfico de red de Amazon GuardDuty, AWS CloudTrail y Amazon Virtual Private Cloud (Amazon VPC) Flow Logs en un modelo gráfico que resume los comportamientos de los recursos y las interacciones observadas en todo su entorno AWS. Hemos agregado nuevas funciones, como el análisis de sesiones de roles de AWS IAM, análisis mejorado de direcciones IP, integración de Splunk, tipos de búsqueda de Amazon S3 y DNS, y el soporte de AWS Organizations.
Los clientes se están moviendo rápidamente a contenedores para implementar cargas de trabajo de Kubernetes con Amazon Elastic Kubernetes Service (Amazon EKS). Su naturaleza altamente programática permite que ocurran miles de implementaciones de contenedores individuales y millones de cambios de configuración en segundos. Para asegurar de manera efectiva las cargas de trabajo de EKS, es importante monitorear las implementaciones y configuraciones de contenedores que se capturan en forma de registros de auditoría de EKS y correlacionar las actividades con la actividad del usuario y el tráfico de red que ocurre en las cuentas de AWS.
Hoy anunciamos nuevas capacidades en Amazon Detective para ampliar la cobertura de investigación de seguridad para las cargas de trabajo de Kubernetes que se ejecutan en Amazon EKS. Cuando habilita esta nueva característica, Amazon Detective automáticamente comienza a recopilar registros de auditoría de EKS para capturar la actividad cronológica de la API de los usuarios, las aplicaciones y el plano de control en Amazon EKS para clústeres, pods, imágenes de contenedores y sujetos de Kubernetes (usuarios de Kubernetes y cuentas de servicio). .
Detective correlaciona automáticamente la actividad del usuario mediante CloudTrail y la actividad de la red mediante los registros de flujo de Amazon VPC, sin necesidad de habilitar, almacenar o conservar los registros manualmente. El servicio recopila información de seguridad clave de estos registros y los retiene en una base de datos de gráficos de comportamiento de seguridad que permite un acceso cruzado rápido a doce meses de actividad. Detective proporciona una capa de análisis y visualización de datos diseñada específicamente para responder preguntas de seguridad comunes respaldadas por una base de datos de gráficos de comportamiento que le permite investigar rápidamente el posible comportamiento malicioso asociado con sus cargas de trabajo de EKS.
Puede responder rápidamente a los problemas de seguridad en lugar de centrarse en la gestión de registros, los sistemas operativos o el mantenimiento continuo de las herramientas de seguridad. Las capacidades de EKS de Detective vienen con una prueba gratuita de 30 días para todos los clientes que le permite asegurarse de que las capacidades satisfagan sus necesidades y comprender completamente el costo del servicio de forma continua.
Introducción a las investigaciones de seguridad para los registros de auditoría de EKS
Para comenzar, habilite Amazon Detective con solo unos pocos clics en la consola de administración de AWS. GuardDuty es un requisito previo de Amazon Detective. Cuando intenta habilitar Detective, Detective verifica si GuardDuty se ha habilitado para su cuenta. Debe habilitar GuardDuty o esperar 48 horas. Esto permite que GuardDuty evalúe el volumen de datos que produce su cuenta.
Puede habilitar su cuenta adjuntando la política de IAM de AWS o delegándola a un administrador de su organización. Para obtener más información, consulte Configuración de Detective en la documentación de AWS.
Para habilitar el soporte de EKS en Detective como un cliente existente, vaya a la Ajustes en el panel izquierdo y seleccione General. Por debajo Paquetes fuente opcionaleshabilitar Registros de auditoría de EKS.
Si es un nuevo cliente de Detective, la función de protección EKS estará habilitada de manera predeterminada. Si no desea probar los registros de auditoría de EKS de inmediato, puede deshabilitar esta función dentro de la primera semana de habilitar Detective y conservar el período de prueba gratuito completo de 30 días para usarlo en el futuro.
Una vez habilitado, Detective comenzará a monitorear los registros de auditoría de Kubernetes generados por Amazon EKS, extrayendo y correlacionando información para uso de seguridad. No necesita habilitar ninguna fuente de registro ni realizar ningún cambio de configuración en sus clústeres de EKS existentes o implementaciones futuras.
Puede ver los resultados de monitoreo recientes de sus clústeres de EKS en la Resumen página.
Cuando elige uno de los clústeres de EKS, verá los detalles de los contenedores que se ejecutan en el clúster, las actividades de la API de Kubernetes y las actividades de red que ocurrieron en este recurso alrededor del tiempo del alcance.
En el Visión general pestaña, también verá detalles sobre todos los contenedores que se ejecutan en el clúster, incluido su pod, imagen y contexto de seguridad.
En el Actividad de la API de Kubernetes pestaña, puede obtener una descripción general de las actividades completas de la API relacionadas con el clúster de EKS. Puede elegir un intervalo de tiempo para desglosar en función de métodos de API específicos dentro del clúster de EKS. Cuando selecciona una hora específica, puede ver los asuntos de la API, las direcciones IP y la cantidad de llamadas a la API por estado correcto, fallido, no autorizado o prohibido.
También puede ver los detalles de las llamadas a la API de Kubernetes observadas recientemente dentro de este clúster por primera vez y los temas con mayor volumen que ocurrieron dentro del clúster.
Activación de la protección GuardDuty EKS
En enero de 2022, Amazon GuardDuty amplió la cobertura a la actividad del clúster de EKS para identificar comportamientos maliciosos o sospechosos que representan amenazas potenciales para las cargas de trabajo de los contenedores.
Cuando la protección EKS de GuardDuty opcional está habilitada, GuardDuty monitoreará continuamente sus implementaciones de EKS y lo alertará sobre las amenazas detectadas en sus cargas de trabajo. Puede ver e investigar estos hallazgos de seguridad en Detective.
Con Detective para EKS habilitado, puede acceder rápidamente a la información sobre los recursos involucrados en el hallazgo, como su actividad API de CloudTrail y Kubernetes, y la información de netflow. Esto puede ayudar en la investigación y ayudarlo a determinar la causa raíz, el impacto y otros recursos relacionados que también pueden verse comprometidos.
Para obtener más información, consulte Cómo usar los nuevos hallazgos de Amazon GuardDuty EKS Protection en el blog de seguridad de AWS.
Ya disponible
Ahora puede usar Amazon Detective para la protección de EKS en todas las regiones donde Amazon Detective está disponible. El precio de esta función se basa en el volumen de registros de auditoría procesados y analizados por Detective.
Detective ofrece una prueba gratuita de 30 días a todos los clientes que habilitan la cobertura de EKS, lo que les permite asegurarse de que las capacidades de Detective satisfagan las necesidades de seguridad y obtener una estimación del costo mensual del servicio antes de comprometerse con el uso pago. Para obtener más información, consulte la página de precios de Detective.
Para obtener documentación técnica, visite la Guía del usuario de Amazon Detective. Envíe sus comentarios a AWS re: Publicar para Amazon Detective o a través de sus contactos habituales de soporte de AWS.
Conoce todos los detalles sobre Amazon Detective para protección EKS y empiece hoy.
– channy
