解鎖AWS新功能系列文章,今天要來看近期 Amazon GuardDuty 新增了惡意軟體保護功能。只要AWS帳戶使用者在Amazon GuardDuty裡開啟這項服務,當EC2 Instance裡頭有可疑的活動時,惡意軟體保護功能就會啟動,確保帳戶安全。另外Amazon Detective現在開始支援部署在Kubernetes上應用程式的資源,自動進行安全檢測,完整監控Amazon EKS的活動。
目錄
目錄
Malware是什麼?小心惡意軟體竊取資安
惡意軟體 (Malware) 是透過網路或可攜式儲存裝置,對伺服器、智慧型裝置等進行破壞,造成隱私或機密資料外洩,甚至會阻擋使用者移除惡意軟體,造成更嚴重的資安問題。廣義來說,電腦病毒、勒索軟體、特洛伊木馬病毒等皆可稱之為惡意軟體。
現代人使用手機下載應用程式,讓生活更加便利。然而在下載之前得小心這款應用程式是否藏有木馬病毒。先前就傳出有多款手機應用程式含有木馬病毒,滲透到手機系統裡頭,竊取信用卡資料,訂閱高額的服務,直到用戶收到電信帳單,才知道錢財早已損失。不僅如此,木馬病毒也可能隱藏在線上遊戲的外掛程式中,竊取遊戲玩家的帳號密碼,甚至進一步允許攻擊者操控受害者的電腦。(延伸閱讀:AWS 三大指標助遊戲業者提升資安 )
解密Amazon GuardDuty 惡意軟體保護功能如何運行
一開始用戶得先到AWS IAM服務相關存取權,給予Amazon GuardDuty權限進行惡意軟體的掃描。當掃描功能開啟後,Amazon GuardDuty的惡意軟體保護服務將會複製一個與EC2 Instance相對應的EBS區塊儲存空間到同個區域,進行惡意軟體掃描。如此一來就不會影響現有EC2 與 EBS 正在運行的工作環節。而Amazon GuardDuty所複製的EBS將會由AWS KMS 加密簽署服務進行加密,以確保儲存空間的隱私不會遭外洩。
假設今天惡意軟體保護服務偵測到在EC2 Instance上有不明的惡意網路行為,Amazon GuardDuty上的報告區塊就會立即顯示EC2來源以及序號,此時就能夠利用AWS另外一項服務-Detective,來進行偵查。從帳戶、IP位置及受影響的EC2 Instance做最完善的資料視覺化診療,找出惡意軟體攻擊主因和來源,並對症下藥解決。
延伸閱讀:【架構師專欄】博弘帶您實作Amazon GuardDuty新功能!
新功能第二彈! Amazon Detective支援容器化應用程式安全調查
剛剛提到的Amazon Detective,除了可以針對EC2上可疑的惡意軟體活動進行偵查,同時也能夠集中Amazon GuardDuty, AWS CloudTrail等帳戶使用日誌的紀錄,以視覺化的方式進行偵查,幫AWS帳戶進行把關。而AWS 觀察到目前有許多用戶使用Amazon EKS的受管Kubernetes服務,因此在上週宣布Amazon Detective的新功能,將EKS也納入資安偵查的範圍中。如此一來,用戶就有辦法即時監控在EKS容器內的資源部署,以及使用日誌,確保與所有在AWS帳戶上的使用者活動,和網路活動都能同步連結去做偵查。
解析Amazon Detective 容器化應用程式安全調查如何進行
在開啟Amazon Detective安全調查服務前,必須要確保您的AWS帳戶已經啟用Amazon GuardDuty的功能,並等待48小時讓GuardDuty可以評估帳戶所有的活動數據。
當兩項服務都已經啟用過後,Amazon Detective就會自動開始蒐集EKS所有的偵查資料,從使用者、部署在EKS上的應用程式,以及控制平面路由器等資料裡頭去捕捉在EKS上按時間順序進行的API活動。Detective會將這些資訊儲存在資料庫裡頭,讓使用者能夠快速的交叉比對過去12個月的帳戶活動。現在有了Detective幫助EKS進行安全調查,使用者可以快速查詢系統內的異常活動以及Kubernetes的API活動,並且從中找出異常的主因與危害帳戶安全的因子,大幅提升EKS上的資源部署安全。
博弘雲端能夠根據客戶需求量身訂做資安解決方案,同時提供統一的安全管理,以實現最高效的資訊安全防護。想要了解更多上雲後該如何幫雲端使用帳戶做資安保護嗎?趕緊聯繫博弘雲端,由專業的架構師解決您的問題與疑惑!
