Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. Sprawdź jej szczegóły Polityki Prywatności i Cookies.

Akceptuję arrow
Najnowszy wpis na blogu: AWS Cloud Adoption Framework a bezpieczeństwo – wyjaśniamy perspektywę Security AWS Cloud Adoption Framework a bezpieczeństwo – wyjaśniamy perspektywę Security
Zobacz kolejne wpisy na Blogu >

Amazon GuardDuty - ochrona jednym kliknięciem

26.9.2018 | LCloud
Udostępnij:
Amazon GuardDuty to usługa, która ma na celu nieustanne monitorowanie i zarządzanie zagrożeniami środowiska chmurowego Zapewnia ochronę kont AWS oraz workloads. Swoją skuteczność zawdzięcza szybkiej analizie ryzyka oraz prostej obsłudze – wystarczy kilka kliknięć, aby ją w pełni skonfigurować. Ponadto nie wymaga wdrażania i utrzymania specjalistycznego oprogramowania czy infrastruktury, co w efekcie nie obciąża istniejących aplikacji.

 

Swoje zastosowanie Amazon GuardDuty znalazł m.in. w branżach finansowej czy telekomunikacyjnej. Usługa bazuje na dostępie do wbudowanych technik wykrywania, zoptymalizowanych i opracowanych specjalnie na potrzeby chmury. Dodatkowo zautomatyzowany proces umożliwia zaprojektowanie ekonomicznej architektury, zapewniając jednocześnie bezpieczeństwo, bez dodatkowych kosztów dla klienta. GuardDuty – jest narzędziem Intrusion Detection, czyli wykrywa nietypowe zachowania, które mogą potencjalnie świadczyć o tym, że np. strona jest atakowana, została zhackowana lub  złośliwe oprogramowanie dostało się na serwer.

 

Jak działa GuardDuty?

Źródło: Amazon Web Services

Powyższa grafika ilustruje schemat działania całej usługi.

 

Swoją skuteczność zawdzięcza inteligentnemu wykrywaniu zagrożeń, na podstawie danych z  AWS CloudTrail czy logów z DNS oraz z usługi AWS VPC Flow Logs (śledzącej komunikację sieciową w VPC). W wykrywaniu anormalnych działań związanych z siecią czy kontem, wykorzystuje uczenie maszynowe, np. GuardDuty wysyła powiadomienie, jeśli API zostanie wywołane przez złośliwy adres IP.

 

Dzięki AWS CloudWatch dane zdarzenia można przekierować do innych akcji docelowych.  Z kolei z pomocą AWS Lambdy trasowane i aktualizowane są  usługi AWS Web Application Firewall (WAF) i VAC NACL. AWS WAF to zapora aplikacji WWW, która pomaga chronić aplikacje internetowe przed typowymi exploitami sieciowymi, które mogą wpływać na dostępność aplikacji, zagrażać bezpieczeństwu lub zużywać nadmierne zasoby.

 

Wykrywane zagrożenia w Amazon GuardDuty są kategoryzowane na trzech poziomach ryzyka: niski, średni i wysoki, które określane są za pomocą wartości liczbowych. Wartości oscylują od 0 do 10 w dziesięciostopniowej skali oraz pozwalają na hierarchizację pojawiających się zagrożeń. Skala punktowa nie jest jednak wykorzystywana w pełni – AWS pozostawia przedział pomiędzy 9.0 a 10.0 do wykorzystania w przyszłości.

 

Poziomy zagrożenia wyglądają następująco:

  • niski 0.1 – 3.9 – wskazuje podejrzaną aktywność, która została zablokowana zanim naruszyła zasoby,
  • średni 4.0 – 6.9 – wskazuje na podejrzane działania, które wymagają natychmiastowej weryfikacji;
  • wysoki 7.0 – 8.9 – wskazuje, iż zasoby są zagrożone i aktywnie wykorzystywane do nieautoryzowanych celów.

 

Przyjrzyjmy się bliżej składowym GuardDuty

Poniżej schemat szablonu, jaki jest tworzony przez AWS CloudTrail. Jest to usługa, która zapewnia zgodność bezpieczeństwa, pozwala na swobodne zarządzanie zasobami konta AWS oraz przeprowadzenie audytu operacyjnego i audytu ryzyka. Dzięki niej monitorowanie aktywności na koncie oraz zarządzanie działaniami w infrastrukturze AWS, pozwalają na śledzenie zmian w zasobach, analizę zabezpieczeń i rozwiązywanie pojawiających się problemów.

Źródło: Amazon Web Services

 

Zarządzanie dostępem w GuardDuty

Uruchomienie usługi Amazon GuardDuty wymaga zaledwie kilku kliknięć w konsoli AWS. Po jej włączeniu natychmiast rozpoczyna się analiza ciągłych strumieni aktywności konta i sieci. Warto pamiętać, że dane z analizy są przechowywane przez 90 dni. Istnieje również możliwość automatyzacji procesu przenoszenia tych danych do usługi S3, gdzie mogą być gromadzone bez limitu czasowego.

Pierwszym krokiem w uruchomieniu usługi, jest nadanie uprawnień poszczególnym tożsamościom IAM (rolom, użytkownikom czy grupom).

Szablon zasad polityki, które należy dodać do IAM znajduje się w Amazon GuardDuty User Guide.

Kolejnym etapem jest konfiguracja roli powiązanej z usługą, w celu delegowania uprawnień do GuardDuty. Rola powiązana z usługą AWS ( w tym przypadku z GuardDuty) jest unikalnym typem roli IAM. Taka rola posiada zdefiniowane uprawnienia wymagane do nawiązywania połączeń w imieniu użytkownika. Modyfikacja ustawień roli nie jest możliwa, a jedyną opcją jest usunięcie roli za pośrednictwem konsoli IAM.

Po wykonaniu tych dwóch operacji usługa GuardDuty rozpoczyna skanowanie zagrożeń. Szczegółowy deployment obydwu templatek znajduje się tutaj.

 

Przykład zastosowania GuardDuty w projekcie klienta

Klient, u którego wdrożyliśmy rozwiązanie to światowy lider dostarczający systemy bezpiecznego logowania (VPN) do Internetu  np. w kawiarniach, szkołach, uczelniach oraz rozwiązań BYOD dla klientów korporacyjnych.

Przed wdrożeniem klient oczekiwał estymacji kosztów rozwiązania.

Na podstawie ilości requestów przychodzących do CloudTraila oraz rozmiaru logów VPCFlowLogs (dla konta około 40 instancji z umiarkowaną utylizacją sieci) wyliczyliśmy koszt na  około 12 – 14 USD miesięcznie.Wdrożenie jest dość proste, ponieważ aktywacja sprowadza się do kliknięcia w jeden przycisk.

Konsola AWS – usługa GuardDuty – ekran wejściowy

 

AWS sam, na żywo” analizuje zdarzenia, a w momencie, gdy pasują one do patternu oznacza je jako “findings”.

Konsola AWS – usługa GuardDuty – analiza zdarzeń.

 

Zdarzenia są kategoryzowane na grupy, w zależności od ważności i następnie generowany jest event, który przesyłany jest do CloudWatcha, w którym może je odpowiednio filtrować. W odpowiedzi na event AWS może zostać wysłana notyfikacja.

Konsola AWS – usługa GuardDuty – notyfikacja

 

W każdym raportowanym przez GuardDuty zdarzeniu znajduje się opis ryzyka i zdarzenia ( data, czas, typ zdarzenia, interfejs, szczegóły dotyczące serwera) oraz odnośnik do dokumentacji AWS, ze szczegółowym opisem danego ryzyka.

Konsola AWS – usługa GuardDuty – opis zdarzenia i ryzyka

 

 Jaka jest cena bezpieczeństwa?

Usługa jest wyceniana przez AWS w dwóch wymiarach:

  • na podstawie ilości zarejestrowanych zdarzeń przez AWS CloudTrail

oraz

  • na podstawie danych zebranych w usłuchach Amazon VPC Flow Log i DNS Log

Ceny różnią się również ze względu na dostępność usługi w danym regionie. Tabelę opłat można znaleźć tutaj. Poniżej znajdują się przykłady miesięcznych kosztów dla Północnej Wirginii na wschodzie USA.

źródło: Amazon Web Services

 

Benefity z implementacji Amazon GuardDuty

Korzyści, jakie niesie za sobą uruchomienie Amazon GuardDuty to dokładne wykrywanie zagrożeń na poziomie konta, gdzie usługa zapewnia szybkie ich wykrycie oraz ustalenie naruszeń dostępu, które mogą być negatywne w skutkach , jeśli nie są  monitorowane w czasie rzeczywistym.

Ciągły monitoring bez dodatkowych kosztów jest ogromnym plusem, a wszystko dzięki brakowi konieczności wdrożenia i utrzymania specjalistycznego oprogramowania.

Płaci się jedynie za zdolność wykrywania zagrożeń, w momencie korzystania z usługi. Amazon Web Services dzięki nieustannym innowacjom i pracy nad rozwojem poszczególnych usług zapewnia najwyższej klasy rozwiązania, które są specjalnie opracowywane i zoptymalizowane pod środowisko chmurowe.

GuardDuty dzięki 3 poziomom bezpieczeństwa dla wyników (wysoki, średni i niski) pozwala również na dostosowanie priorytetów zabezpieczeń.

Wdrożenie za pomocą jednego  kliknięcia czyni z usługi niemal rozwiązanie “plug and play”, a całość procesu jest w pełni zautomatyzowana, pozwalając uruchomić GuardDuty na kilku kontach jednocześnie.

× Niniejszym oświadczam, że zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. oraz ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną, wyrażam zgodę na przetwarzanie podanych przeze mnie danych osobowych w celach marketingowych, w tym celem otrzymywania informacji handlowych drogą elektroniczną pochodzących od Lcloud spółka z ograniczoną odpowiedzialnością na potrzeby promocji jej usług. Udostępniane dane są chronione w pełni zgodnie z Ustawą o ochronie danych osobowych. Lcloud Sp. z o.o. (z siedzibą w Warszawie, ul. Złotej 59) jest administratorem bazy danych osobowych. Udostępniający ma prawo do wglądu, zmiany i usunięcia danych osobowych z bazy Lcloud Sp. z o.o.

Szczegóły dotyczące sposobu, celu i czasu trwania przetwarzania dostępne są w Polityce Prywatności i Cookies.