Publié le: Jan 26, 2022
Amazon GuardDuty a étendu sa couverture pour surveiller et analyser en continu l'activité du cluster Amazon Elastic Kubernetes Service (Amazon EKS) afin d'identifier les comportements malveillants ou suspects représentant des menaces potentielles pour les charges de travail de conteneurs. Amazon GuardDuty pour la protection EKS surveille l'activité du plan de contrôle en analysant les journaux d'audit Kubernetes à partir de clusters Amazon EKS existants et nouveaux dans vos comptes. GuardDuty est intégré à Amazon EKS, ce qui lui permet d'accéder directement aux journaux d'audit Kubernetes sans que vous ayez à activer ou à stocker ces journaux. Une fois qu'une menace est détectée, GuardDuty génère un résultat de sécurité qui inclut des détails sur le conteneur tels que l'ID du pod, l'ID de l'image de conteneur et les identifications associées.
Lors du lancement, GuardDuty pour la protection EKS comprend 27 nouveaux types de résultats GuardDuty qui peuvent aider à détecter les menaces liées aux activités des utilisateurs et des applications capturées dans les journaux d'audit Kubernetes. Les détections de menaces Kubernetes récemment ajoutées incluent les clusters Amazon EKS auxquels accèdent des acteurs malveillants connus ou à partir de nœuds Tor, les opérations d'API effectuées par des utilisateurs anonymes qui pourraient indiquer une mauvaise configuration et les mauvaises configurations qui peuvent entraîner un accès non autorisé aux clusters Amazon EKS. De plus, à l'aide de modèles de machine learning (ML), GuardDuty peut identifier des modèles compatibles avec les techniques d'escalade de privilèges, comme un lancement suspect d'un conteneur avec un accès au niveau racine à l'hôte Amazon Elastic Compute Cloud (Amazon EC2) sous-jacent. Pour obtenir une liste complète et détaillée de toutes les nouvelles détections, consultez la page Types de résultats Amazon GuardDuty.
Les 30 premiers jours de GuardDuty pour la protection EKS sont disponibles sans frais supplémentaires pour les comptes GuardDuty existants. Pour les nouveaux comptes, GuardDuty pour la protection EKS fait partie de l'essai gratuit de 30 jours d'Amazon GuardDuty. Pendant la période d'essai, vous pouvez voir le coût estimé de l'exécution du service à la fin de la période d'essai dans la console de gestion GuardDuty. GuardDuty optimise vos coûts en ne traitant que les journaux pertinents pour l'analyse. GuardDuty pour la protection EKS est disponible dans toutes les régions AWS où GuardDuty est disponible. Afin de recevoir les mises à jour programmatiques sur les nouvelles fonctions d'Amazon GuardDuty et détections de menaces, abonnez-vous à la rubrique Amazon GuardDuty SNS.
Mise à jour du 8 février 2022 : Amazon GuardDuty pour la protection EKS n'est plus activé par défaut
Cette nouveauté a été mise à jour afin de refléter la décision prise sur la base des commentaires clients. Pour les clients actuels d'Amazon GuardDuty, AWS n'activera plus par défaut GuardDuty pour la protection EKS. Tous les clients GuardDuty existants ayant la protection EKS activée étaient dans une période d'utilisation gratuite allant jusqu'au lundi 7 février 2022, date à laquelle GuardDuty pour la protection EKS a été désactivé. Celui-ci restera désactivé par défaut. Les clients peuvent désormais choisir de réactiver GuardDuty pour la protection EKS au moment de leur choix et en seulement quelques clics dans la console Amazon GuardDuty ou via les API. Tous les comptes qui activent GuardDuty pour la protection EKS bénéficieront de 30 jours d'utilisation gratuite et une estimation des dépenses sera disponible dans la console GuardDuty afin de faciliter la planification après l'expiration de la période gratuite. Suite à la période d'utilisation gratuite, GuardDuty pour la protection EKS continue à surveiller les charges de travail EKS et peut être désactivé à tout moment. Tous les résultats de sécurité de la protection EKS générés entre le 26 janvier 2022 et le 7 février 2022 seront disponibles pour examen pendant les 90 jours suivant cette période.