隨著國內(nèi)公有云應(yīng)用程度愈來越高,眾多企業(yè)用戶都已經(jīng)接受使用亞馬遜云科技部署各類不同的應(yīng)用系統(tǒng)�;同時各地的安全合規(guī)越來越嚴(yán)格,安全問題已經(jīng)成為企業(yè)用戶關(guān)注的重點之一���。
導(dǎo)語
隨著國內(nèi)公有云應(yīng)用程度愈來越高�����,眾多企業(yè)用戶都已經(jīng)接受使用亞馬遜云科技部署各類不同的應(yīng)用系統(tǒng)�����;同時各地的安全合規(guī)越來越嚴(yán)格����,安全問題已經(jīng)成為企業(yè)用戶關(guān)注的重點之一�����。
云上環(huán)境的開放性,以及云上網(wǎng)絡(luò)環(huán)境和本地數(shù)據(jù)中心不同的安全態(tài)勢���,讓企業(yè)常擔(dān)心自己的云端資源是否足夠安全�����,企業(yè)需要知道云端資源和環(huán)境本身當(dāng)下正在發(fā)生什么,是否有潛在的威脅等����。
本文將介紹如何使用Amazon GuardDuty服務(wù)實現(xiàn)威脅發(fā)現(xiàn),并簡介如何基于此實現(xiàn)安全自動化響應(yīng)�����。包括自定義威脅IP列表���,解讀威脅發(fā)現(xiàn)結(jié)果�,和聯(lián)動Amazon CloudWatch�����,Amazon Security Hub等服務(wù)實現(xiàn)安全運(yùn)營自動化。
什么是Amazon GuardDuty�?
Amazon GuardDuty是云原生的威脅檢測服務(wù),該服務(wù)于2月4日春節(jié)前在由光環(huán)新網(wǎng)運(yùn)營的亞馬遜云科技中國(北京)區(qū)域和由西云數(shù)據(jù)運(yùn)營的中國(寧夏)區(qū)域推出���。Amazon GuardDuty持續(xù)監(jiān)控惡意活動和未經(jīng)授權(quán)的行為�����,可以保護(hù)客戶的亞馬遜云科技賬戶����、工作負(fù)載和存儲在Amazon S3中的數(shù)據(jù)���。
Amazon GuardDuty工作原理
Amazon GuardDuty的啟用比較簡單��,這里不做贅述���。
該服務(wù)從Amazon CloudTrail事件日志、Amazon VPC流日志�����,Amazon S3的事件日志和DNS日志中采集海量事件���,結(jié)合人工智能和威脅情報�,分析云上的網(wǎng)絡(luò)安全威脅和異常行為。Amazon GuardDuty威脅檢測可以識別與賬戶入侵����、實例泄露、惡意偵測和存儲桶泄漏相關(guān)的風(fēng)險���。
例如���,Amazon GuardDuty使用DNS查詢作為傳輸機(jī)制來檢測異常API調(diào)用、已知惡意IP地址的可疑出站通信或可能的數(shù)據(jù)盜竊�。Amazon GuardDuty利用威脅情報(例如惡意IP和域名列表)和豐富的機(jī)器學(xué)習(xí)提供更準(zhǔn)確的鑒別結(jié)果�����。
自定義威脅IP列表
Amazon GuardDuty支持威脅情報導(dǎo)入和自定義IP地址黑白名單�。以黑名單IP地址列表為例:
01
首先建立文本文件�����,名為blocklist.txt,內(nèi)容如下截圖�,保存該文件到Amazon S3 bucket中����,記錄下該對象的訪問路徑�����,類似于:
https://guarddutytesting.s3.cn-northwest-1.amazonaws.com.cn//blocklist.txt
上述IP列表在具體設(shè)置的時候需要替換X為明確的IP地址�。
02
登陸亞馬遜云科技管理控制臺,在Amazon GuardDuty服務(wù)的界面上��,從左邊的選擇菜單選擇“配置”—“清單”�,在界面上可以看到管理導(dǎo)入威脅情況,選擇“添加威脅列表”���。
在彈出窗口中���,可以添加各種支持的外部威脅情報,包括開放威脅交換OTX���,結(jié)構(gòu)化威脅信息表達(dá)式STIX以及FireEye iSight的威脅情報格式���,當(dāng)然也支持上文準(zhǔn)備的明文文本格式編輯的威脅IP地址列表。
03
現(xiàn)在制定格式(這里選擇明文)后�����,在“位置”處輸入上文準(zhǔn)備的文本文件URL,點擊“添加列表”后�����,會看到上圖的情況����。添加IP地址黑名單完成。
如何解讀威脅發(fā)現(xiàn)���?
Amazon GuardDuty啟用之后��,不需要做額外的操作就會自動讀取數(shù)據(jù)源分析亞馬遜云科技上的威脅��,并生成發(fā)現(xiàn)“結(jié)果”���,如下圖所示����,威脅發(fā)現(xiàn)的結(jié)果類型列中,顯示了針對云端資源的威脅如暴力破解���,端口掃描���,Amazon S3存儲桶的權(quán)限修改等���。
下面我們從使用該威脅IP的亞馬遜云科技海外區(qū)域的Amazon EC2實例上,遠(yuǎn)程SSH到該賬號下的某個Amazon EC2實例�����,以此觀察Amazon GuardDuty發(fā)現(xiàn)結(jié)果��。SSH登陸的過程在此不做贅述���。
針對上圖選擇的這條結(jié)果���,顯示來自惡意IP的訪問,點擊該發(fā)現(xiàn)結(jié)果后��,console的右邊提供了這個發(fā)現(xiàn)的的詳細(xì)信息����,尤其是操作者的IP地址,對應(yīng)我們自定義的文本格式的blocklist.txt.
Amazon GuardDuty調(diào)查結(jié)果都有一個指定的嚴(yán)重性級別和值,可反映調(diào)查結(jié)果給您的網(wǎng)絡(luò)帶來的潛在風(fēng)險���,這些風(fēng)險由亞馬遜云科技的安全工程師確定�����。嚴(yán)重性值可以為介于0.1和8.9之間的任何值�,該值越高���,安全風(fēng)險就越大�����。
為了幫助客戶確定對調(diào)查結(jié)果突出顯示的潛在安全問題的響應(yīng)���,Amazon GuardDuty將此范圍分為“高”、“中”和“低”嚴(yán)重性級別�����。高”安全性級別表示涉及的資源(Amazon EC2實例或一組Amazon IAM用戶憑證)已遭盜用����,并正被用于未經(jīng)授權(quán)的用途�����。在Amazon GuardDuty的console上右上角看到的紅色標(biāo)記表示“高”嚴(yán)重級別的發(fā)現(xiàn),每個嚴(yán)重級別為高的發(fā)現(xiàn)結(jié)果�,在列表中以紅色的三角形標(biāo)記:
“中”嚴(yán)重性級別表示偏離正常觀察到的行為的可疑活動,根據(jù)客戶的使用案例�,可能指示資源被盜用。發(fā)現(xiàn)結(jié)果以橙色正方形標(biāo)記:
“低”嚴(yán)重性級別表示嘗試進(jìn)行的可疑活動未危及客戶的網(wǎng)絡(luò)����,例如端口掃描或失敗的入侵嘗試。發(fā)現(xiàn)結(jié)果條目以藍(lán)色小圓圈標(biāo)記�����,上文的可疑IP訪問已經(jīng)顯示�。發(fā)現(xiàn)結(jié)果列表可以通過選擇字段進(jìn)行過濾。
如何處理威脅發(fā)現(xiàn)���?
Amazon GuardDuty的發(fā)現(xiàn)可以通過Amazon CloudWatch Events進(jìn)行下一步的處理����,在CloudWatch Events規(guī)則編輯界面�����,選擇“自定義事件模式”,在之后的代碼編輯窗口里用如下代碼:
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
...
8.9
]
通過Amazon CloudWatch Events���,可以調(diào)用亞馬遜云科技的更多服務(wù)如Amazon Lambda�����,Amazon SNS�����,或第三方產(chǎn)品��。Amazon GuardDuty的發(fā)現(xiàn)結(jié)果�,也可以通過Amazon Security Hub這個服務(wù)實現(xiàn)多種產(chǎn)品的集中發(fā)現(xiàn)����,從而實現(xiàn)安全事件的自動化處理。
立即登錄��,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于AWS云計算,本站不擁有所有權(quán)���,不承擔(dān)相關(guān)法律責(zé)任����。文章內(nèi)容系作者個人觀點��,不代表快出海對觀點贊同或支持�����。如有侵權(quán)�����,請聯(lián)系管理員(zzx@kchuhai.com)刪除�!
閩公網(wǎng)安備 35010202001226號
