re:Invent 2023 | Fargate 上运行容器?GuardDuty ECS 运行时监控助你守护安全

关键字: [Amazon Web Services re:Invent 2023, GuardDuty, Threat Detection For Containers, Runtime Monitoring, Container Security, Ecs Security, Fargate Security, Guardduty Findings, Process Level Visibility, Container Escapes, Detecting Malware]

本文字数: 1400, 阅读完需: 7 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1A94y177qi

导读

了解如何从亚马逊ECS的完全托管运行时威胁检测中受益,包括运行在Amazon Fargate上的无服务器容器工作负载。加入亚马逊云科技安全和容器专家,了解GuardDuty ECS运行时监控如何简化针对亚马逊ECS工作负载的全组织范围的威胁检测。 GuardDuty ECS运行时监控让您能够查看主机操作系统级活动,并为检测和采取行动来对抗您的亚马逊ECS工作负载上的威胁提供容器级上下文。 不要在现代应用程序安全性上妥协——通过亚马逊GuardDuty为您在亚马逊云科技上的无服务器容器工作负载获得针对容器的保护。

演讲精华

以下是小编为您整理的本次演讲的精华，共1100字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

演讲者Ryan首先欢迎与会者并开始讲座，他表示这次演讲将介绍GuardDuty运行时监控如何应用于亚马逊云科技（Amazon Web Services）的Amazon ECS服务，特别是其中的Fargate功能。他强调这是一个重要且备受期待的功能，因为容器面临着与非容器环境中工作负载相同的威胁。这些常见的威胁包括加密挖矿、拒绝服务攻击、被破解的工作负载用于识别其他脆弱目标以及利用容器权限访问账户内的敏感数据或机密。

演讲者强调，有效安全的关键方面是确保其能够一致无缝地应用。在深入探讨服务细节之前，他介绍了一位同事Kunjan，Kunjan将进行一个简短的演示，突出显示如何在组织内的所有账户中启用GuardDuty。

Kunjan简要介绍了GuardDuty作为监测账户和工作负载的威胁检测服务，生成洞察以帮助修复已识别的恶意活动，并展示了在所有账户中启用GuardDuty ECS运行时监控并查看生成的结果。与之前的仅网络层事件相比，现在的发现包括额外的增强容器特定上下文，如涉及的任务、集群、容器镜像和标签。这种额外的详细信息允许比仅具有网络层事件更快地进行调查和响应。

在演示结束后，另一个演讲者Spiros回顾了一些关于ECS的关键信息。他表示，ECS是亚马逊云科技提供的本地容器管理服务，可支持在EC2实例、无服务器Fargate及通过ECS Anywhere在内网服务器上运行。由于其易用性，许多新的亚马逊云科技容器客户都选择使用ECS。尽管亚马逊拥有数十万的ECS客户，但其最大的客户正是亚马逊自身。诸如RDS、SageMaker、GuardDuty、Amazon.com和Prime Video等服务都在ECS上运行大量工作负载。亚马逊自身的规模使用推动了ECS优先发展高可用性、弹性和所有客户都能受益的安全性能。

接下来，Ryan Holland概述了GuardDuty的功能。自约六年前推出以来，该服务的主要目标是向各类规模的机构提供功能齐全的云原生威胁检测服务。从单个开发者到最大的企业，包括亚马逊本身，都是GuardDuty的客户。超过90%的前2000名亚马逊云科技客户使用GuardDuty，保护了所有全球地区的数百万个账户和EC2实例。随着新日志来源的添加，如S3数据事件、EKS审计日志、Aurora数据库登录事件和Lambda流日志，GuardDuty对客户环境的可视性得到了扩大，同时提高了威胁检测覆盖率。

Ryan还解释了GuardDuty如何通过结合不同数据源、威胁情报、行为分析、机器学习和恶意软件检测来识别复杂的威胁类型。这导致自推出以来发现了160多种独特的威胁，比前增加了五倍。这些发现可以直接消费，集成到合作伙伴的管理平台中，并通过EventBridge分发以进行自动化操作。

最后，Ryan强调，GuardDuty运行时监控功能的添加是一个关键目标，即保持其他依赖GuardDuty的数据源的简单易用的“一键式”启用。为此，运行时监控需由GuardDuty完全管理，无需客户自行部署、更新或维护代理。此外，代理应尽量减少资源占用，以保持容器的效率优势。

研究人员已经新增了31项针对运行时容器威胁的研究成果，涉及领域包括容器ID、进程ID、容器镜像和标签等。为了减小资源消耗，他们采用了基于eBPF技术的代理程序进行数据分析。所有的分析结果都从代理程序传输至GuardDuty的后端进行处理。此外，该系统还能够与亚马逊的ECS和Fargate服务实现无缝部署。

通过对演示过程中的具体数据和指标进行分析，本摘要更全面地展示了GuardDuty的功能以及新ECS运行时监控功能的实际价值。这些额外的详细信息有助于展示GuardDuty的广泛应用和保护作用，同时向客户强调其实际效益。

下面是一些演讲现场的精彩瞬间：

亚马逊云科技正将其威胁检测能力应用于ECS和无服务器容器，旨在保护这些环境免受加密挖矿、拒绝服务攻击等常见威胁的侵害。

亚马逊云科技打造了一个运行时平台，将威胁检测无缝地扩展至客户体验，从而实现最低程度的配置需求。

亚马逊云科技提供了一站式的安全服务，帮助客户在造成重大损失之前发现和应对潜在威胁。

在讨论中，演讲者分享了通过CI/CD管道部署容器工作负载而非直接修改运行中容器的最佳实践。

在EC2实例上安装监控软件可确保遥测数据能够发送给GuardDuty以进行安全分析。

亚马逊云科技的领导者们探讨了针对Amazon ECS和亚马逊云科技Fargate的全新安全检测、响应和管理功能。

总结

GuardDuty运行时监控是一种针对亚马逊云科技(Amazon Web Services)的弹性计算服务(ECS)和Fargate的无缝安全解决方案。这种先进的威胁检测方案旨在为无服务器容器提供全面保护，涵盖不同账户和工作负载。通过演示，开发者可以轻松地开启GuardDuty for ECS的使用。如今，调查结果包含了详细的容器级别背景信息，例如涉及的任务、集群、命名空间和进程详情。这有助于迅速应对潜在问题。

GuardDuty利用多种数据来源和技术，如机器学习和威胁情报，来识别整个攻击链中的复杂威胁。新增的运行时监控功能提高了对容器逃逸、加密货币开采和内存中恶意软件执行的识别能力。完全托管的部署避免了代理管理方面的困扰。调查结果可以与亚马逊云科技的安全中心及其他工具进行整合。GuardDuty运行时监控为亚马逊云科技的多种计算选择带来了一致的威胁检测能力。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134838413

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。