Amazon GuardDuty
Amazon GuardDuty ist ein von AWS (Amazon Web Services) gemanagter Cloud Security Monitoring Service, der verdächtiges Verhalten und Bedrohungen für AWS-Accounts, -Ressourcen sowie Workloads erkennen soll.
Als ein von Amazon Web Services in der Cloud gehosteter und verwalteter Dienst kann Amazon GuardDuty ohne eigenes IT-Team aktiviert, gemanagt oder um zusätzliche Sicherheitssoftware ergänzt werden. Stattdessen kann ihn ein Administrator oder Security-Analyst über die AWS-Managementkonsole selbst aktivieren. Direkt danach beginnt der Dienst damit, die Cloud-Umgebung des Kunden zu analysieren. Manche der erweiterten Möglichkeiten zur Erkennung von Bedrohungen erfordern jedoch, dass über einen Zeitraum von ein bis zwei Wochen erst einmal der „normale Ablauf“ aufgezeichnet wird, um einen Vergleich zu haben.
Wie GuardDuty arbeitet
Amazon GuardDuty analysiert kontinuierlich alle Cloud-Ereignisse mit Unterstützung von AWS CloudTrail. Außerdem prüft der Dienst die Flow Logs der Amazon Virtual Private Cloud (VPC) und die Protokolle des DNS-Systems (Domain Name System). So sollen böswillige Aktivitäten schneller erkannt werden.
Der Dienst verfügt über eigens vom AWS-Sicherheitsteam entwickelte Fähigkeiten zur Threat Intelligence, Erkennung von Anomalien sowie Machine Learning, um Analysen in nahezu Echtzeit durchführen zu können.
GuardDuty erkennt drei Hauptarten von Gefahren für die AWS-Cloud:
- Erkundung durch Angreifer: Diese Art von Bedrohungen umfasst misslungene Login-Versuche, ungewöhnliche API-Aktivitäten (Application Programming Interfaces) sowie Port-Scans.
- Kompromittierte Ressourcen: Zu diesen Gefahren gehören Krypto-Jacking, ungewöhnliche Spitzen beim Datenverkehr im Netzwerk und vorübergehende Zugriffe auf EC2-Instanzen (Elastic Compute Cloud) durch externe IP-Adressen.
- Kompromittierte Accounts: Beispiele für diese Art von Attacken sind API-Aufrufe von einer ungewöhnlichen Stelle aus, Versuche CloudTrail zu deaktivieren sowie verdächtige Instanzen oder Infrastruktur-Deployments.
Es ist zwar für den Admin möglich, GuardDuty mit seiner eigenen Liste an „sicheren“ IP-Adressen zu unterstützen. Darüber hinaus ist es aber nicht vorgesehen, selbst Regeln für die Erkennung von Bedrohungen festzulegen. Der Admin kann aber immerhin auf die Ergebnisse von GuardDuty mit Hilfe von Daumen-nach-oben- oder Daumen-nach-unten-Klicks reagieren, um so nach und nach die Maßnahmen zu verbessern.
Amazon GuardDuty stellt die Ergebnisse in einem JSON-Format zusammen und übergibt sie auf diese Weise auch an die Managementkonsole. Anschließend kann ein Admin reagieren. Alternativ lässt sich auch eine automatisierte Aktion auslösen. So kann zum Beispiel Amazon CloudWatch Events Erkenntnisse von GuardDuty akzeptieren, um dann mit Hilfe von AWS Lambda etwa eine bestimmte Sicherheitskonfiguration anzupassen. Die GuardDuty-Konsole und die zugehörigen APIs speichern alle Security-Ergebnisse für rund 90 Tage.
Aufwand und Kosten für GuardDuty
Amazon GuardDuty arbeitet unabhängig von anderen Cloud-Ressourcen. Das heißt, dass der Dienst keinen negativen Einfluss auf die Performance laufender Systeme hat. GuardDuty nutzt außerdem mit dem Dienst verbundene Rollen, die es vom AWS Identity and Access Management erhält. Das hat den Vorteil, dass sich ein Admin nicht um das Ändern von Policies für seine S3-Buckets oder um die Aktivierung von Protokollen kümmern muss, wie es etwa bei Zugriffsberechtigungen für Einzelpersonen nötig ist.
Ein AWS-Kunde zahlt für GuardDuty auf Basis der AWS CloudTrail Events und der Zahl der VPC Flow Logs sowie DNS-Logs, die der Dienst analysiert. Interessenten können den Service zunächst kostenlos testen.
AWS bietet mit Amazon Macie einen weiteren Security-Dienst auf Basis von Machine Learning an. Anders als GuardDuty konzentriert er sich jedoch auf die Klassifizierung von Daten und ihren Schutz.