发布于: Jan 26, 2022
Amazon GuardDuty 已扩展覆盖范围,以通过持续监控和分析 Amazon Elastic Kubernetes Service(Amazon EKS)集群活动来识别对容器工作负载存在潜在威胁的恶意或可疑行为。适用于 EKS 保护的 Amazon GuardDuty 通过分析您账户中现有和新的 Amazon EKS 集群的 Kubernetes 审核日志来监控控制层面活动。GuardDuty 与 Amazon EKS 集成,可直接访问 Kubernetes 审核日志,而无需您打开或存储这些日志。检测到威胁之后,GuardDuty 将会生成安全调查结果,其中包括诸如 pod ID、容器映像 ID 和关联标签之类的容器详细信息。
启动时,适用于 EKS 保护的 GuardDuty 包括 27 种新的 GuardDuty 调查结果类型,可帮助检测与 Kubernetes 审计日志中捕获的用户和应用程序相关的威胁。新增的 Kubernetes 威胁检测包括由已知恶意攻击者访问或者来自 Tor 节点、由可能指示错误配置的匿名用户执行的 API 操作以及可能导致未授权访问 Amazon EKS 集群的错误配置的 Amazon EKS 集群。此外,通过使用机器学习 (ML) 模型,GuardDuty 可以识别与特权提升技术一致的模式,例如通过对基础 Amazon Elastic Compute Cloud (Amazon EC2) 主机的根级访问恶意启动容器。 有关所有新检测功能的完整详细列表,请参阅Amazon GuardDuty 调查结果类型。
对于现有 GuardDuty 账户,适用于 EKS 保护的 GuardDuty 的前 30 天是免费的。对于新账户,适用于 EKS 保护的 GuardDuty 是 30 天 Amazon GuardDuty 免费试用的一部分。在试用期间,您可以查看在使用器结束后在 GuardDuty 管理控制台中查看运行此服务的估计成本。 GuardDuty 将会通过仅处理相关日志进行分析来优化您的成本。适用于 EKS 保护的 GuardDuty 现已在提供 GuardDuty 的所有 AWS 区域中推出。要接收有关 Amazon GuardDuty 新增功能和威胁检测的程序化更新,请订阅 Amazon GuardDuty SNS 主题。
2022 年 2 月 8 日更新:默认情况下不再启用 Amazon GuardDuty for EKS Protection
此新增功能已更新以反映根据客户反馈做出的决定,对于当前的 Amazon GuardDuty 客户,AWS 将不再默认启用 GuardDuty for EKS Protection。所有已启用 EKS Protection 的 现有 GuardDuty 用户都处于免费使用期,直至 2022 年 2 月 7 日星期一,届时系统将不再启用 GuardDuty for EKS Protection,默认情况下将保持关闭状态。现在,客户只需在 Amazon GuardDuty 控制台中或通过 API 单击几下,即可在自行选择的时间重新启用 GuardDuty for EKS Protection。启用 GuardDuty for EKS Protection 的所有账户都将获得 30 天的免费使用期,并且在免费期到期后,GuardDuty 控制台中将显示预估支出,以帮助用户进行规划。免费使用期过后,GuardDuty for EKS Protection 将继续监控 EKS 工作负载,并可随时禁用。2022 年 1 月 26 日至 2022 年 2 月 7 日期间生成的所有 EKS Protection 安全检测结果,在接下来的 90 天内均可供用户审核。