結合威脅情報偵測能力，AWS提供確保用戶帳號安全新服務

使用雲端服務最令企業難以放心的部份，莫過於使用帳號與應用系統工作負載的保護，而公有雲服務龍頭廠商AWS最近提出強化安全性的辦法，他們在2017年底舉行的全球用戶大會上，宣布推出一套名為GuardDuty的雲端服務，結合了威脅情報的偵測機制，提供持續監控用戶帳號活動的功能，協助用戶更快發現帳號遭人冒用的狀況，以及用於惡意活動或未經許可的存取行為。

AWS用戶啟用這項雲端服務的方式相當簡單，僅需在網頁主控臺介面AWS Management Console，經過幾個簡單的點選步驟，即可馬上開始啟用，而GuardDuty分析資料的範圍，包括：用戶擁有的多個AWS帳號活動與API呼叫（CloudTrail的事件記錄），以及網路連線歷程（Amazon VPC的Flow Logs），以此建立帳戶活動的正常基準。

圖中是GuardDuty管理介面當中的通用設定頁面，管理者在此能夠檢視GuardDuty的服務角色名稱，以及監控資料的存取權限內容，若要暫停執行或停用GuardDuty的偵測，也可從這裡操作。

在通用設定頁面，我們按下產生範例發現結果（Generate sample findings）的按鈕之後，接著切換到發現結果的頁面，就可以看到中間會列出這些系統分析的可疑事件，右側從上倒下分別顯示了每個事件的威脅資訊、受到影響的EC2執行個體ID（Resource Affected）、威脅使用的動作（Action）、威脅發動者（Actor）。

之後，GuardDuty持續運用機器學習的技術，辨識所收集到的事件資料，判斷用戶帳號是否出現正常模式以外的狀況，例如，突然部署了不常用到的執行個體類型，且放置在從未用過的區域執行，或是執行不常用到的API呼叫、將密碼政策調整為降低密碼強度，以及透過停用CloudTrail的記錄功能，試圖模糊使用者的活動狀態等。

一旦發現異常情形，GuardDuty會產生警報，當中將描繪每一次使用AWS服務的狀況，而相對地，AWS本身也會持續更新使用的威脅情報來源。

而在系統的建置上，用戶毋須為此額外部署硬體設備、軟體系統，以及訂閱網路威脅情報服務，所要支付的費用，主要是根據分析的事件資料量多寡來計算。

在異常活動的偵測上，GuardDuty能夠發現的事件類型有三種：攻擊事前偵查（Reconnaissance）、執行個體遭到入侵（Instance compromise）、AWS帳號遭到入侵（Account compromise），而圖中標示為黑色字的事件偵測，是透過特徵、無狀態式的分析，標示為藍色字的事件偵測，是運用行為、完整狀態式的分析。

就保護的主要對象而言，GuardDuty的目標是用戶的AWS帳號，當我們在自己的帳號啟用這項雲端服務之後，還可以邀請其他AWS帳號加入，當對方的帳號同意之後，異常活動偵測的範圍即可涵蓋到那邊的分析結果。

在此同時，GuardDuty也會將所掌握的活動資料，與AWS研發的威脅情報來源、第三方資安公司，以及顧問服務業者提供的威脅資料，例如惡意IP位址、網域名稱，進行交叉關連。攝影：李宗翰

同時，這套雲端服務也運用機器學習的技術，針對用戶的AWS帳號來辨識各種潛在的非法與惡意活動，像是存取權限的提升、使用遭到先前遭到外洩的身分帳號，以及與惡意IP位址、URL網址與網域通訊的行為。

這麼一來，用戶能透過GuardDuty強化EC2執行個體的安全性，避免遭到惡意軟體濫用，或被作為加密數位貨幣的採礦作業。同時，GuardDuty也能夠持續監督AWS帳號的存取行為，及早掌握受到入侵的種種徵兆，例如，有人私自執行未經許可的IT基礎架構部署作業，或是調降身分與存取的安全政策強度。

一旦偵測出異常狀況，GuardDuty會立即發出詳細的資安警示，通知AWS帳戶擁有者，並且建議應採取的防護行動，若要將系統提供的這些資料，整合到既有的事件管理及工作流程系統，也相當簡便。

用戶可以在CloudWatch裡面建立規則，送出GuardDuty分析的事件發現結果，並附掛AWS Lambda的功能作為這些資料傳輸的目的地，以此執行自動矯正的作業。攝影：李宗翰

GuardDuty除了對內分析AWS帳號的使用是否有異狀，還可以將發現結果傳送到AWS CloudWatch Events雲端服務，並且能透過AWS SDK支援API endpoint。而在這樣的機制之下，GuardDuty就能與第三方廠商提供的解決方案互通，例如，趨勢科技、Splunk、Palo Alto Networks、Rapid7等資安廠商，已經提供相關的整合方式，也因此，GuardDuty提供的威脅情報，就能更容易搭配在既有的資安處理流程當中，以便進行深度分析與自動化防禦。

趨勢科技是與AWS Amazon GuardDuty整合的廠商之一，圖中是他們的Deep Security搭配AWS Amazon GuardDuty的架構，透過簡單的AWS Lambda的功能，解析了GuardDuty的發現之後，用戶可以調度指揮Deep Security平臺，執行多樣的威脅自動反應機制。

Palo Alto與Amazon GuardDuty的整合，也是經由AWS Lambda的功能來進行，當中會將GuardDuty收集到的威脅資訊，像是惡意IP位址，傳送到他們的VM系列的次世代防火牆。這當中運用了XML的API來建立動態位址群組，並且內含阻斷IP連線活動的安全政策，一旦GuardDuty更新了惡意IP位址，這個動態位址群組與安全政策，也將自動隨之更新，為AWS用戶在雲端服務環境上的網路存取，提供更為主動的防護能力。

在此同時，GuardDuty已經與市面上的威脅情報服務平臺，進行相互合作，而使得AWS用戶能夠運用更多元的威脅資料來源，像是：CrowdStrike、Proofpoint，而且，AWS Security團隊也會協助辨識威脅，提供保護，避免受到已知的惡意攻擊侵犯。

目前已有十多家資安廠商、顧問公司，宣布與AWS GuardDuty合作。

GuardDuty提供了使用彈性，允許用戶自行新增信任的IP位址清單，以及惡意網址清單，以適應不同環境的需求。

GuardDuty目前開放30天免費試用，啟用這項服務之後，AWS用戶可透過網頁管理介面，隨時檢視用量。

產品資訊

AWS Amazon GuardDuty
●原廠：AWS
●建議售價：亞太區（東京）VPC Flow Log和DNS記錄分析資料每GB為1.18美元，AWS CloudTrail事件分析資料每月每百萬筆為4.72美元
●分析資料來源：AWS CloudTrail事件記錄、VPC Flow Logs、DNS查詢記錄
●偵測可疑活動類型：攻擊者探查、執行個體濫用、帳號遭到冒用
●使用的網路威脅情報來源：AWS Security與第三方合作夥伴

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】