Veröffentlicht am: Jan 26, 2022
Amazon GuardDuty hat die Abdeckung erweitert, um die Cluster-Aktivitäten von Amazon Elastic Kubernetes Service (Amazon EKS) kontinuierlich zu überwachen und zu profilieren, um bösartiges oder verdächtiges Verhalten zu identifizieren, das eine potenzielle Bedrohung für Container-Workloads darstellt. Amazon GuardDuty for EKS Protection überwacht die Aktivität der Steuerebene durch Analyse der Kubernetes-Prüfprotokolle von bestehenden und neuen Amazon-EKS-Clustern in Ihren Konten. GuardDuty ist in Amazon EKS integriert und hat damit direkten Zugriff auf die Kubernetes-Prüfprotokolle, ohne dass Sie diese Protokolle einschalten oder speichern müssen. Sobald eine Bedrohung erkannt wird, generiert GuardDuty einen Sicherheitsbefund, der Containerdetails wie Pod-ID, Container-Image-ID und zugehörige Tags enthält.
Zum Start enthält GuardDuty for EKS Protection 27 neue GuardDuty-Suchtypen, die helfen können, Bedrohungen im Zusammenhang mit Benutzer- und Anwendungsaktivitäten zu erkennen, die in Kubernetes-Prüfprotokollen erfasst werden. Zu den neu hinzugefügten Kubernetes-Bedrohungserkennungen gehören Amazon-EKS-Cluster, auf die von bekannten böswilligen Akteuren oder von Tor-Knoten aus zugegriffen wird, API-Vorgänge, die von anonymen Benutzern durchgeführt werden und auf eine Fehlkonfiguration hindeuten könnten, sowie Fehlkonfigurationen, die zu einem nicht autorisierten Zugriff auf Amazon-EKS-Cluster führen können. Mithilfe von Modellen für Machine Learning (ML) kann GuardDuty außerdem Muster erkennen, die mit Techniken zur Berechtigungserweiterung übereinstimmen, z. B. den verdächtigen Start eines Containers mit Root-Zugriff auf den zugrunde liegenden Amazon EC2-Host (Amazon Elastic Compute Cloud). Eine vollständige und detaillierte Liste aller neuen Erkennungsarten finden Sie unter Amazon-GuardDuty-Suchtypen.
Die ersten 30 Tage von GuardDuty für EKS Protection sind für bestehende GuardDuty-Konten ohne zusätzliche Kosten verfügbar. Für neue Konten ist GuardDuty für EKS Protection Teil der 30-tägigen kostenlosen Amazon-GuardDuty-Testversion. Während des Testzeitraums können Sie die geschätzten Kosten für den Betrieb des Services nach Ablauf des Testzeitraums in der GuardDuty-Managementkonsole einsehen. GuardDuty optimiert Ihre Kosten, indem es nur die für die Analyse relevanten Protokolle verarbeitet. GuardDuty für EKS Protection ist in allen AWS-Regionen verfügbar, in denen GuardDuty verfügbar ist. Wenn Sie programmatische Informationen zu neuen Amazon GuardDuty-Funktionen und neu erkannten Bedrohungen erhalten möchten, können Sie das Amazon-GuardDuty-SNS-Thema abonnieren.
Aktualisiert am 8. Februar 2022: Amazon GuardDuty für den EKS-Schutz nicht mehr standardmäßig aktiviert
Diese Neuerungen wurden aktualisiert, um die Entscheidung widerzuspiegeln, die basierend auf Kundenfeedback getroffen wurde, für aktuelle Amazon-GuardDuty-Kunden wird AWS GuardDuty for EKS Protection nicht mehr standardmäßig zu aktivieren. Alle bestehenden GuardDuty-Kunden, bei denen der EKS-Schutz aktiviert war, befanden sich bis Montag, den 7. Februar 2022 in einem kostenlosen Nutzungszeitraum. Zu diesem Zeitpunkt war GuardDuty für den EKS-Schutz nicht mehr aktiviert und bleibt standardmäßig deaktiviert. Kunden können jetzt GuardDuty für den EKS-Schutz zu einem Zeitpunkt ihrer Wahl mit wenigen Klicks in der Amazon-GuardDuty-Konsole oder über die APIs erneut aktivieren. Alle Konten, die GuardDuty für den EKS-Schutz aktivieren, erhalten 30 Tage kostenlose Nutzung, und geschätzte Ausgaben sind in der GuardDuty-Konsole verfügbar, um bei der Planung nach Ablauf des kostenlosen Zeitraums zu helfen. Nach dem kostenlosen Nutzungszeitraum überwacht GuardDuty for EKS Protection weiterhin EKS-Workloads und kann jederzeit deaktiviert werden. Alle EKS-Protection-Sicherheitsergebnisse, die zwischen dem 26. Januar 2022 und dem 7. Februar 2022 generiert wurden, stehen für die nächsten 90 Tage zur Überprüfung zur Verfügung.