Amazon GuardDuty - ochrona jednym kliknięciem
Amazon GuardDuty to usługa, która ma na celu nieustanne monitorowanie i zarządzanie zagrożeniami środowiska chmurowego Zapewnia ochronę kont AWS oraz workloads. Swoją skuteczność zawdzięcza szybkiej analizie ryzyka oraz prostej obsłudze – wystarczy kilka kliknięć, aby ją w pełni skonfigurować. Ponadto nie wymaga wdrażania i utrzymania specjalistycznego oprogramowania czy infrastruktury, co w efekcie nie obciąża istniejących aplikacji.
Swoje zastosowanie Amazon GuardDuty znalazł m.in. w branżach finansowej czy telekomunikacyjnej. Usługa bazuje na dostępie do wbudowanych technik wykrywania, zoptymalizowanych i opracowanych specjalnie na potrzeby chmury. Dodatkowo zautomatyzowany proces umożliwia zaprojektowanie ekonomicznej architektury, zapewniając jednocześnie bezpieczeństwo, bez dodatkowych kosztów dla klienta. GuardDuty – jest narzędziem Intrusion Detection, czyli wykrywa nietypowe zachowania, które mogą potencjalnie świadczyć o tym, że np. strona jest atakowana, została zhackowana lub złośliwe oprogramowanie dostało się na serwer.
Jak działa GuardDuty?
Źródło: Amazon Web Services
Powyższa grafika ilustruje schemat działania całej usługi.
Swoją skuteczność zawdzięcza inteligentnemu wykrywaniu zagrożeń, na podstawie danych z AWS CloudTrail czy logów z DNS oraz z usługi AWS VPC Flow Logs (śledzącej komunikację sieciową w VPC). W wykrywaniu anormalnych działań związanych z siecią czy kontem, wykorzystuje uczenie maszynowe, np. GuardDuty wysyła powiadomienie, jeśli API zostanie wywołane przez złośliwy adres IP.
Dzięki AWS CloudWatch dane zdarzenia można przekierować do innych akcji docelowych. Z kolei z pomocą AWS Lambdy trasowane i aktualizowane są usługi AWS Web Application Firewall (WAF) i VAC NACL. AWS WAF to zapora aplikacji WWW, która pomaga chronić aplikacje internetowe przed typowymi exploitami sieciowymi, które mogą wpływać na dostępność aplikacji, zagrażać bezpieczeństwu lub zużywać nadmierne zasoby.
Wykrywane zagrożenia w Amazon GuardDuty są kategoryzowane na trzech poziomach ryzyka: niski, średni i wysoki, które określane są za pomocą wartości liczbowych. Wartości oscylują od 0 do 10 w dziesięciostopniowej skali oraz pozwalają na hierarchizację pojawiających się zagrożeń. Skala punktowa nie jest jednak wykorzystywana w pełni – AWS pozostawia przedział pomiędzy 9.0 a 10.0 do wykorzystania w przyszłości.
Poziomy zagrożenia wyglądają następująco:
- niski 0.1 – 3.9 – wskazuje podejrzaną aktywność, która została zablokowana zanim naruszyła zasoby,
- średni 4.0 – 6.9 – wskazuje na podejrzane działania, które wymagają natychmiastowej weryfikacji;
- wysoki 7.0 – 8.9 – wskazuje, iż zasoby są zagrożone i aktywnie wykorzystywane do nieautoryzowanych celów.
Przyjrzyjmy się bliżej składowym GuardDuty
Poniżej schemat szablonu, jaki jest tworzony przez AWS CloudTrail. Jest to usługa, która zapewnia zgodność bezpieczeństwa, pozwala na swobodne zarządzanie zasobami konta AWS oraz przeprowadzenie audytu operacyjnego i audytu ryzyka. Dzięki niej monitorowanie aktywności na koncie oraz zarządzanie działaniami w infrastrukturze AWS, pozwalają na śledzenie zmian w zasobach, analizę zabezpieczeń i rozwiązywanie pojawiających się problemów.
Źródło: Amazon Web Services
Zarządzanie dostępem w GuardDuty
Uruchomienie usługi Amazon GuardDuty wymaga zaledwie kilku kliknięć w konsoli AWS. Po jej włączeniu natychmiast rozpoczyna się analiza ciągłych strumieni aktywności konta i sieci. Warto pamiętać, że dane z analizy są przechowywane przez 90 dni. Istnieje również możliwość automatyzacji procesu przenoszenia tych danych do usługi S3, gdzie mogą być gromadzone bez limitu czasowego.
Pierwszym krokiem w uruchomieniu usługi, jest nadanie uprawnień poszczególnym tożsamościom IAM (rolom, użytkownikom czy grupom).
Szablon zasad polityki, które należy dodać do IAM znajduje się w Amazon GuardDuty User Guide.
Kolejnym etapem jest konfiguracja roli powiązanej z usługą, w celu delegowania uprawnień do GuardDuty. Rola powiązana z usługą AWS ( w tym przypadku z GuardDuty) jest unikalnym typem roli IAM. Taka rola posiada zdefiniowane uprawnienia wymagane do nawiązywania połączeń w imieniu użytkownika. Modyfikacja ustawień roli nie jest możliwa, a jedyną opcją jest usunięcie roli za pośrednictwem konsoli IAM.
Po wykonaniu tych dwóch operacji usługa GuardDuty rozpoczyna skanowanie zagrożeń. Szczegółowy deployment obydwu templatek znajduje się tutaj.
Przykład zastosowania GuardDuty w projekcie klienta
Klient, u którego wdrożyliśmy rozwiązanie to światowy lider dostarczający systemy bezpiecznego logowania (VPN) do Internetu np. w kawiarniach, szkołach, uczelniach oraz rozwiązań BYOD dla klientów korporacyjnych.
Przed wdrożeniem klient oczekiwał estymacji kosztów rozwiązania.
Na podstawie ilości requestów przychodzących do CloudTraila oraz rozmiaru logów VPCFlowLogs (dla konta około 40 instancji z umiarkowaną utylizacją sieci) wyliczyliśmy koszt na około 12 – 14 USD miesięcznie.Wdrożenie jest dość proste, ponieważ aktywacja sprowadza się do kliknięcia w jeden przycisk.
Konsola AWS – usługa GuardDuty – ekran wejściowy
AWS sam, “na żywo” analizuje zdarzenia, a w momencie, gdy pasują one do patternu oznacza je jako “findings”.
Konsola AWS – usługa GuardDuty – analiza zdarzeń.
Zdarzenia są kategoryzowane na grupy, w zależności od ważności i następnie generowany jest event, który przesyłany jest do CloudWatcha, w którym może je odpowiednio filtrować. W odpowiedzi na event AWS może zostać wysłana notyfikacja.
Konsola AWS – usługa GuardDuty – notyfikacja
W każdym raportowanym przez GuardDuty zdarzeniu znajduje się opis ryzyka i zdarzenia ( data, czas, typ zdarzenia, interfejs, szczegóły dotyczące serwera) oraz odnośnik do dokumentacji AWS, ze szczegółowym opisem danego ryzyka.
Konsola AWS – usługa GuardDuty – opis zdarzenia i ryzyka
Jaka jest cena bezpieczeństwa?
Usługa jest wyceniana przez AWS w dwóch wymiarach:
- na podstawie ilości zarejestrowanych zdarzeń przez AWS CloudTrail
oraz
- na podstawie danych zebranych w usłuchach Amazon VPC Flow Log i DNS Log
Ceny różnią się również ze względu na dostępność usługi w danym regionie. Tabelę opłat można znaleźć tutaj. Poniżej znajdują się przykłady miesięcznych kosztów dla Północnej Wirginii na wschodzie USA.
źródło: Amazon Web Services
Benefity z implementacji Amazon GuardDuty
Korzyści, jakie niesie za sobą uruchomienie Amazon GuardDuty to dokładne wykrywanie zagrożeń na poziomie konta, gdzie usługa zapewnia szybkie ich wykrycie oraz ustalenie naruszeń dostępu, które mogą być negatywne w skutkach , jeśli nie są monitorowane w czasie rzeczywistym.
Ciągły monitoring bez dodatkowych kosztów jest ogromnym plusem, a wszystko dzięki brakowi konieczności wdrożenia i utrzymania specjalistycznego oprogramowania.
Płaci się jedynie za zdolność wykrywania zagrożeń, w momencie korzystania z usługi. Amazon Web Services dzięki nieustannym innowacjom i pracy nad rozwojem poszczególnych usług zapewnia najwyższej klasy rozwiązania, które są specjalnie opracowywane i zoptymalizowane pod środowisko chmurowe.
GuardDuty dzięki 3 poziomom bezpieczeństwa dla wyników (wysoki, średni i niski) pozwala również na dostosowanie priorytetów zabezpieczeń.
Wdrożenie za pomocą jednego kliknięcia czyni z usługi niemal rozwiązanie “plug and play”, a całość procesu jest w pełni zautomatyzowana, pozwalając uruchomić GuardDuty na kilku kontach jednocześnie.