Publié le: Jan 26, 2022
HAQM GuardDuty a étendu sa couverture pour surveiller et analyser en continu l'activité du cluster HAQM Elastic Kubernetes Service (HAQM EKS) afin d'identifier les comportements malveillants ou suspects représentant des menaces potentielles pour les charges de travail de conteneurs. HAQM GuardDuty pour la protection EKS surveille l'activité du plan de contrôle en analysant les journaux d'audit Kubernetes à partir de clusters HAQM EKS existants et nouveaux dans vos comptes. GuardDuty est intégré à HAQM EKS, ce qui lui permet d'accéder directement aux journaux d'audit Kubernetes sans que vous ayez à activer ou à stocker ces journaux. Une fois qu'une menace est détectée, GuardDuty génère un résultat de sécurité qui inclut des détails sur le conteneur tels que l'ID du pod, l'ID de l'image de conteneur et les identifications associées.
Lors du lancement, GuardDuty pour la protection EKS comprend 27 nouveaux types de résultats GuardDuty qui peuvent aider à détecter les menaces liées aux activités des utilisateurs et des applications capturées dans les journaux d'audit Kubernetes. Les détections de menaces Kubernetes récemment ajoutées incluent les clusters HAQM EKS auxquels accèdent des acteurs malveillants connus ou à partir de nœuds Tor, les opérations d'API effectuées par des utilisateurs anonymes qui pourraient indiquer une mauvaise configuration et les mauvaises configurations qui peuvent entraîner un accès non autorisé aux clusters HAQM EKS. De plus, à l'aide de modèles de machine learning (ML), GuardDuty peut identifier des modèles compatibles avec les techniques d'escalade de privilèges, comme un lancement suspect d'un conteneur avec un accès au niveau racine à l'hôte HAQM Elastic Compute Cloud (HAQM EC2) sous-jacent. Pour obtenir une liste complète et détaillée de toutes les nouvelles détections, consultez la page Types de résultats HAQM GuardDuty.
Les 30 premiers jours de GuardDuty pour la protection EKS sont disponibles sans frais supplémentaires pour les comptes GuardDuty existants. Pour les nouveaux comptes, GuardDuty pour la protection EKS fait partie de l'essai gratuit de 30 jours d'HAQM GuardDuty. Pendant la période d'essai, vous pouvez voir le coût estimé de l'exécution du service à la fin de la période d'essai dans la console de gestion GuardDuty. GuardDuty optimise vos coûts en ne traitant que les journaux pertinents pour l'analyse. GuardDuty pour la protection EKS est disponible dans toutes les régions AWS où GuardDuty est disponible. Afin de recevoir les mises à jour programmatiques sur les nouvelles fonctions d'HAQM GuardDuty et détections de menaces, abonnez-vous à la rubrique HAQM GuardDuty SNS.
Mise à jour du 8 février 2022 : HAQM GuardDuty pour la protection EKS n'est plus activé par défaut
Cette nouveauté a été mise à jour afin de refléter la décision prise sur la base des commentaires clients. Pour les clients actuels d'HAQM GuardDuty, AWS n'activera plus par défaut GuardDuty pour la protection EKS. Tous les clients GuardDuty existants ayant la protection EKS activée étaient dans une période d'utilisation gratuite allant jusqu'au lundi 7 février 2022, date à laquelle GuardDuty pour la protection EKS a été désactivé. Celui-ci restera désactivé par défaut. Les clients peuvent désormais choisir de réactiver GuardDuty pour la protection EKS au moment de leur choix et en seulement quelques clics dans la console HAQM GuardDuty ou via les API. Tous les comptes qui activent GuardDuty pour la protection EKS bénéficieront de 30 jours d'utilisation gratuite et une estimation des dépenses sera disponible dans la console GuardDuty afin de faciliter la planification après l'expiration de la période gratuite. Suite à la période d'utilisation gratuite, GuardDuty pour la protection EKS continue à surveiller les charges de travail EKS et peut être désactivé à tout moment. Tous les résultats de sécurité de la protection EKS générés entre le 26 janvier 2022 et le 7 février 2022 seront disponibles pour examen pendant les 90 jours suivant cette période.