使用雲端服務最令企業難以放心的部份,莫過於使用帳號與應用系統工作負載的保護,而公有雲服務龍頭廠商AWS最近提出強化安全性的辦法,他們在2017年底舉行的全球用戶大會上,宣布推出一套名為GuardDuty的雲端服務,結合了威脅情報的偵測機制,提供持續監控用戶帳號活動的功能,協助用戶更快發現帳號遭人冒用的狀況,以及用於惡意活動或未經許可的存取行為。
AWS用戶啟用這項雲端服務的方式相當簡單,僅需在網頁主控臺介面AWS Management Console,經過幾個簡單的點選步驟,即可馬上開始啟用,而GuardDuty分析資料的範圍,包括:用戶擁有的多個AWS帳號活動與API呼叫(CloudTrail的事件記錄),以及網路連線歷程(Amazon VPC的Flow Logs),以此建立帳戶活動的正常基準。
圖中是GuardDuty管理介面當中的通用設定頁面,管理者在此能夠檢視GuardDuty的服務角色名稱,以及監控資料的存取權限內容,若要暫停執行或停用GuardDuty的偵測,也可從這裡操作。
在通用設定頁面,我們按下產生範例發現結果(Generate sample findings)的按鈕之後,接著切換到發現結果的頁面,就可以看到中間會列出這些系統分析的可疑事件,右側從上倒下分別顯示了每個事件的威脅資訊、受到影響的EC2執行個體ID(Resource Affected)、威脅使用的動作(Action)、威脅發動者(Actor)。
之後,GuardDuty持續運用機器學習的技術,辨識所收集到的事件資料,判斷用戶帳號是否出現正常模式以外的狀況,例如,突然部署了不常用到的執行個體類型,且放置在從未用過的區域執行,或是執行不常用到的API呼叫、將密碼政策調整為降低密碼強度,以及透過停用CloudTrail的記錄功能,試圖模糊使用者的活動狀態等。
一旦發現異常情形,GuardDuty會產生警報,當中將描繪每一次使用AWS服務的狀況,而相對地,AWS本身也會持續更新使用的威脅情報來源。
而在系統的建置上,用戶毋須為此額外部署硬體設備、軟體系統,以及訂閱網路威脅情報服務,所要支付的費用,主要是根據分析的事件資料量多寡來計算。
在異常活動的偵測上,GuardDuty能夠發現的事件類型有三種:攻擊事前偵查(Reconnaissance)、執行個體遭到入侵(Instance compromise)、AWS帳號遭到入侵(Account compromise),而圖中標示為黑色字的事件偵測,是透過特徵、無狀態式的分析,標示為藍色字的事件偵測,是運用行為、完整狀態式的分析。
就保護的主要對象而言,GuardDuty的目標是用戶的AWS帳號,當我們在自己的帳號啟用這項雲端服務之後,還可以邀請其他AWS帳號加入,當對方的帳號同意之後,異常活動偵測的範圍即可涵蓋到那邊的分析結果。
在此同時,GuardDuty也會將所掌握的活動資料,與AWS研發的威脅情報來源、第三方資安公司,以及顧問服務業者提供的威脅資料,例如惡意IP位址、網域名稱,進行交叉關連。攝影:李宗翰
同時,這套雲端服務也運用機器學習的技術,針對用戶的AWS帳號來辨識各種潛在的非法與惡意活動,像是存取權限的提升、使用遭到先前遭到外洩的身分帳號,以及與惡意IP位址、URL網址與網域通訊的行為。
這麼一來,用戶能透過GuardDuty強化EC2執行個體的安全性,避免遭到惡意軟體濫用,或被作為加密數位貨幣的採礦作業。同時,GuardDuty也能夠持續監督AWS帳號的存取行為,及早掌握受到入侵的種種徵兆,例如,有人私自執行未經許可的IT基礎架構部署作業,或是調降身分與存取的安全政策強度。
一旦偵測出異常狀況,GuardDuty會立即發出詳細的資安警示,通知AWS帳戶擁有者,並且建議應採取的防護行動,若要將系統提供的這些資料,整合到既有的事件管理及工作流程系統,也相當簡便。
用戶可以在CloudWatch裡面建立規則,送出GuardDuty分析的事件發現結果,並附掛AWS Lambda的功能作為這些資料傳輸的目的地,以此執行自動矯正的作業。攝影:李宗翰
GuardDuty除了對內分析AWS帳號的使用是否有異狀,還可以將發現結果傳送到AWS CloudWatch Events雲端服務,並且能透過AWS SDK支援API endpoint。而在這樣的機制之下,GuardDuty就能與第三方廠商提供的解決方案互通,例如,趨勢科技、Splunk、Palo Alto Networks、Rapid7等資安廠商,已經提供相關的整合方式,也因此,GuardDuty提供的威脅情報,就能更容易搭配在既有的資安處理流程當中,以便進行深度分析與自動化防禦。
趨勢科技是與AWS Amazon GuardDuty整合的廠商之一,圖中是他們的Deep Security搭配AWS Amazon GuardDuty的架構,透過簡單的AWS Lambda的功能,解析了GuardDuty的發現之後,用戶可以調度指揮Deep Security平臺,執行多樣的威脅自動反應機制。
Palo Alto與Amazon GuardDuty的整合,也是經由AWS Lambda的功能來進行,當中會將GuardDuty收集到的威脅資訊,像是惡意IP位址,傳送到他們的VM系列的次世代防火牆。這當中運用了XML的API來建立動態位址群組,並且內含阻斷IP連線活動的安全政策,一旦GuardDuty更新了惡意IP位址,這個動態位址群組與安全政策,也將自動隨之更新,為AWS用戶在雲端服務環境上的網路存取,提供更為主動的防護能力。
在此同時,GuardDuty已經與市面上的威脅情報服務平臺,進行相互合作,而使得AWS用戶能夠運用更多元的威脅資料來源,像是:CrowdStrike、Proofpoint,而且,AWS Security團隊也會協助辨識威脅,提供保護,避免受到已知的惡意攻擊侵犯。
目前已有十多家資安廠商、顧問公司,宣布與AWS GuardDuty合作。
GuardDuty提供了使用彈性,允許用戶自行新增信任的IP位址清單,以及惡意網址清單,以適應不同環境的需求。
GuardDuty目前開放30天免費試用,啟用這項服務之後,AWS用戶可透過網頁管理介面,隨時檢視用量。
產品資訊
AWS Amazon GuardDuty
●原廠:AWS
●建議售價:亞太區(東京)VPC Flow Log和DNS記錄分析資料每GB為1.18美元,AWS CloudTrail事件分析資料每月每百萬筆為4.72美元
●分析資料來源:AWS CloudTrail事件記錄、VPC Flow Logs、DNS查詢記錄
●偵測可疑活動類型:攻擊者探查、執行個體濫用、帳號遭到冒用
●使用的網路威脅情報來源:AWS Security與第三方合作夥伴
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2024-11-12
2024-11-18
2024-11-15
2024-11-18
2024-11-15
2024-11-15