乐趣区

关于前端:Amazon-Detective-支持-Amazon-EKS-上的-Kubernetes-工作负载以进行安全调查

亚马逊云科技开发者社区 为开发者们提供寰球的开发技术资源。这里有技术文档、开发案例、技术专栏、培训视频、流动与比赛等。帮忙中国开发者对接世界最前沿技术,观点,和我的项目,并将中国优良开发者或技术举荐给寰球云社区。如果你还没有关注 / 珍藏,看到这里请肯定不要匆匆划过,点这里 让它成为你的技术宝库!

2020 年 3 月,咱们推出了 Amazon Detective,这是一项齐全托管的服务,能够轻松剖析、考察和疾速辨认潜在平安问题或可疑流动的根本原因。

Amazon Detective 继续将登录尝试、API 调用和网络流量等工夫事件从 Amazon GuardDuty、Amazon CloudTrail 和 Amazon Virtual Private Cloud(Amazon VPC) Flow Logs 提取到图形模型中,该模型总结了在整个 Amazon 环境中察看到的资源行为和交互。咱们退出了新性能,例如 Amazon IAM 角色会话剖析、加强的 IP 地址剖析、Splunk 集成、Amazon S3 和 DNS 检测后果类型以及 Amazon Organizations 反对。

客户正在迅速转向容器,应用 Amazon Elastic Kubernetes Service(Amazon EKS). 部署 Kubernetes 工作负载。Amazon EKS 的高度编程性质可在几秒内实现数千个独自的容器部署和数百万的配置更改。为了无效爱护 EKS 工作负载的平安,必须监控以 EKS 审计日志模式捕捉的容器部署和配置,并将流动与用户流动和跨 Amazon 账户产生的网络流量关联起来。

咱们于今日发表推出 Amazon Detective 中的新性能,以扩充在 Amazon EKS 上运行的 Kubernetes 工作负载的平安考察范畴。启用此新性能后,Amazon Detective 会主动开始摄取 EKS 审计日志,以从 Amazon EKS 中的用户、应用程序控制面板处捕捉针对集群、Pod、容器映像和 Kubernetes 主体(Kubernetes 用户和服务账户)的 API 流动(按工夫顺序排列)。

Detective 应用 CloudTrail 主动关联用户流动和应用 Amazon VPC Flow Logs 的网络流动,而无需您手动启用、存储或保留日志。该服务从这些日志中收集要害平安信息,并将其保留在平安行为图形数据库中,从而可通过穿插援用形式快速访问十二个月的流动。Detective 提供了数据分析和可视化层,专门用于答复由行为图形数据库反对的常见平安问题,使您可能疾速考察与 EKS 工作负载相干的潜在歹意行为。

您能够疾速响应平安问题,而不用专一于日志治理、操作系统或继续的平安工具保护。Detective 的 EKS 性能为所有客户提供 30 天收费试用期,这使您能够确保这些性能满足本人的需要,并继续全面理解该服务的老本。

++EKS 审计日志平安考察入门 ++

要开始应用,只需在 Amazon 治理控制台中单击几下,即可启用 Amazon Detective。GuardDuty 是 Amazon Detective 的先决条件。尝试启用 Detective 时,Detective 会查看您的账户是否已启用 GuardDuty。您必须启用 GuardDuty 或期待 48 小时。这可让 GuardDuty 评估您的账户产生的数据量。

您能够通过附加 Amazon IAM 策略来启用本人的账户,也能够将其委派给组织的管理员。要理解更多信息,请参阅 Amazon 文档中的设置 Detective。

要以现有客户身份在 Detective 中启用 EKS 反对,请导航到左侧面板中的 Settings(设置)菜单,而后抉择 General(惯例)。在 Optional source packages(可选源软件包)下,启用 EKS audit logs(EKS 审计日志)。

如果您是 Detective 的新客户,则默认状况下将启用 EKS 爱护性能。如果您不想立刻试用 EKS 审计日志,能够在启用 Detective 后的第一周内禁用此性能,并保留残缺的 30 天收费试用期以备未来应用。

启用后,Detective 将开始监控由 Amazon EKS 生成的 Kubernetes 审计日志,提取和关联信息以用于平安用处。您无需启用任何日志源,也无需对现有 EKS 集群或未来的部署进行任何配置更改。

您能够在 Summary(摘要)页面上查看 EKS 集群的近期监控后果。

抉择其中一个 EKS 集群时,您将看到集群中运行的容器、Kubernetes API 流动以及在作用域工夫内于此资源上产生的网络流动的详细信息。

Overview(概述)选项卡中,您还能够查看集群中运行的所有容器的详细信息,包含它们的 Pod、映像和平安上下文。

Kubernetes API activity(Kubernetes API 流动)选项卡中,您能够概览波及 EKS 集群的残缺 API 流动。您能够依据 EKS 集群中的特定 API 办法抉择向下钻取的工夫范畴。抉择特定工夫后,您能够按胜利、失败、未受权或禁止状态查看 API 主体、IP 地址和 API 调用次数。

您还能够查看该集群中首次察看到的 Kubernetes API 调用的详细信息,以及集群外部产生的卷减少的主体。

++ 启用 GuardDuty EKS 爱护 ++

2022 年 1 月,Amazon GuardDuty 将爱护范畴扩充到 EKS 集群流动,以辨认对容器工作负载形成潜在威逼的歹意或可疑行为。

启用可选的 GuardDuty EKS 爱护后,GuardDuty 将继续监控您的 EKS 部署,并提醒您留神工作负载中检测到的威逼。您能够在 Detective 中查看和考察这些平安检测后果。

启用 Detective for EKS 后,您能够快速访问无关检测后果中所波及资源的信息,例如它们的 CloudTrail 和 Kubernetes API 流动以及网络流信息。这有助于进行考察,并帮忙您确定根本原因、影响以及其余可能受到负面影响的相干资源。

要理解更多信息,请参阅 Amazon 平安博客中的如何应用新的 Amazon GuardDuty EKS 爱护检测后果。

现已推出 当初,您能够在提供 Amazon Detective 的所有区域应用 Amazon Detective for EKS 爱护。此性能的定价基于 Detective 解决和剖析的审计日志量。

Detective 为所有启用 EKS 覆盖范围的客户提供 30 天收费试用期,使客户可能确保 Detective 的性能满足平安需要,并在承诺付费应用之前估算该服务的月度费用。要理解更多信息,请参阅 Detective 定价页面。

无关技术文档,请拜访 Amazon Detective 用户指南。请将反馈发送至 Amazon re:Post for Amazon Detective 或通过平时的 Amazon 反对联系人发送反馈。

理解无关 Amazon Detective for EKS 的所有详细信息,并且立刻开始应用

– Channy

退出移动版