Wie Threat Stack die Überwachung von Amazon EKS auf AWS Fargate vereinfacht
Threat Stack heißt jetzt F5 Distributed Cloud App Infrastructure Protection (AIP). Beginnen Sie noch heute damit, Distributed Cloud AIP mit Ihrem Team zu verwenden.
Dies ist ein gemeinsamer Blogbeitrag von Amber Bennoui, Senior Technical Product Manager für UI und Agent, und Sabin Thomas, VP AppSec Engineering.
Was ist Fargate?
Fargate wurde 2017 von AWS auf den Markt gebracht und ist eine serverlose Rechenmaschine, die Container bereitstellt und ausführt, ohne dass Server oder Cluster virtueller Maschinen verwaltet werden müssen. Da die Verwaltung zusätzlicher Infrastruktur entfällt, können sich Ops-Teams und Entwickler auf das konzentrieren, was sie am besten können, nämlich Anwendungscode entwickeln und bereitstellen.
Mit Fargate können Sie bei Bedarf Rechenkapazität in der richtigen Größe für Container sowohl auf AWS, ECS als auch auf EKS bereitstellen. Threat Stack hat in der Vergangenheit Sichtbarkeit für ECS auf Fargate bereitgestellt, freut sich jetzt jedoch, dieselben Funktionen für EKS auf Fargate einführen zu können. Threat Stack ist einer der wenigen Cloud-Sicherheitsanbieter, der sowohl EKS als auch ECS abdeckt. Indem wir Ihre Workloads sichern und gleichzeitig nach bösartigen Prozessen und Netzwerkaktivitäten suchen, schützen wir diese Umgebungen aktiv vor Bedrohungen wie der Datenexfiltration. Dies liegt daran, dass der Threat Stack-Agent die Überwachung von Ost-West- und Nord-Süd-Netflows ermöglicht und Ihnen so vollständige Transparenz in Ihrer Fargate-Umgebung verschafft. In diesem Blog werfen wir einen umfassenden Blick auf die Erkennungen, die Threat Stack für Fargate EKS bietet.
Warum Amazon EKS auf AWS Fargate?
Amazon EKS auf Fargate ist eine hervorragende Option, wenn Sie natives Kubernetes ausführen und einige der mit der Wartung und Verwaltung Ihrer Cluster verbundenen Aufgaben verringern möchten. Fargate unterstützt alle gängigen Container-Anwendungsfälle, die Sie möglicherweise verwenden, z. B. Anwendungen für maschinelles Lernen oder Anwendungen für die Microservices-Architektur. Darüber hinaus eignen sich Anwendungen, die keine vollständige Kontrolle von Ihrer Seite erfordern, hervorragend für Fargate, da Sie die Container starten können, ohne EC2-Instanzen bereitstellen oder verwalten zu müssen.
Da das Ausführen von EKS auf Fargate einen geringen Aufwand für die Wartung von Kubernetes und der zugrunde liegenden Infrastruktur in Ihrer Umgebung erfordert, ist dies eine gute Option für Manager, die möglicherweise mehrere Abteilungen leiten, wie etwa DevOps und Sicherheit. Das Ausführen von EKS auf Fargate führt zwar dazu, dass ein Teil der Sicherheitslast auf AWS verlagert wird, es ist jedoch nicht vollständig abgedeckt. Dies liegt daran, dass Fargate das Modell der gemeinsamen Sicherheitsverantwortung von der Sicherheit der Cloud auf die Sicherheit in der Cloud verlagert.
Wie unten dargestellt, übernimmt AWS die Verantwortung für den Schutz der Infrastruktur, auf der AWS-Dienste in der AWS-Cloud ausgeführt werden. Für Fargate EKS ist AWS für die Kubernetes-Steuerebene verantwortlich, einschließlich der Steuerebenenknoten und der etcd-Datenbank.
AWS Fargate EKS-Modell der geteilten Verantwortung, das die Verantwortung des Kunden und die von AWS veranschaulicht.
Laut AWS „sind Sicherheit und Compliance eine gemeinsame Verantwortung von AWS und dem Kunden. Dieses gemeinsame Modell kann dazu beitragen, den Betriebsaufwand des Kunden zu verringern, da AWS die Komponenten vom Host-Betriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen der Dienst ausgeführt wird, betreibt, verwaltet und kontrolliert.“ Aus diesem Grund war es für Threat Stack von entscheidender Bedeutung, die AWS-Funktionen unter Berücksichtigung des Modells der geteilten Verantwortung anzupassen. Daher lässt sich Threat Stack so konfigurieren, dass Sie vollständige Transparenz über die Netzwerkkonfiguration und Anwendungsprozesse in Fargate EKS erhalten und gleichzeitig die Kundenseite des Modells der geteilten Verantwortung erfüllen. Dies ist in wenigen Minuten erledigt.
Installation und Konfiguration
Nachfolgend finden Sie einen einfachen dreistufigen Prozess für die ersten Schritte mit der Ausführung von Threat Stack in einer Beispielanwendung auf EKS Fargate.
1. Wir mounten zunächst ein freigegebenes Volume in der Kubernetes-Bereitstellung, auf das sowohl der Anwendungscontainer als auch der Threat Stack-Container zugreifen können.
2. Anschließend aktualisieren wir hier die vorhandene Kubernetes-Bereitstellung mit einem InitContainer, um die anfängliche Instrumentierung des Agenten zu ermöglichen.
3. Schließlich fügen wir den Threat Stack-Sidecar hinzu, der ausgeführt wird, wenn der Anwendungscontainer angezeigt wird.
Verwenden Sie Threat Stack, um Amazon EKS auf AWS Fargate sicher zu überwachen
Sobald der Threat Stack-Agent in Ihrer auf Fargate EKS laufenden Anwendung bereitgestellt wurde, sollten Sie sehen, wie Ereignisse in der Threat Stack-Plattform angezeigt werden. Außerdem sollten Sie die Möglichkeit haben, von Threat Stack verwaltete Regeln auf diese Ereignisse anzuwenden oder benutzerdefinierte Regeln zu erstellen.
Threat Stack bietet Echtzeitüberwachung und -erkennung für die folgenden Aktivitäten in Ihrer Fargate EKS-Umgebung:
- Interaktive Sitzungen
- SSHD-Binärdateien
- Versuche der Datenexfiltration
- Unerwartete Netzwerkverbindungen
Threat Stack-Ereignisse bringen wichtige Zusammenhänge auf hoher Ebene ans Licht und ermöglichen Benutzern die schnelle Durchführung forensischer Untersuchungen sowohl zu Prozessen als auch zu Netzwerk-Ereignismetadaten, Zeiträumen und bestimmten Workloads:
Übersichtsansicht von Fargate-Prozessereignissen.
Eine Übersicht über den verwalteten Fargate-Regelsatz von Threat Stack.
Fargate-Prozess- oder Netflow-Ereignisse, die mit einer von Threat Stack verwalteten oder benutzerdefinierten Regel übereinstimmen, generieren umsetzbare Warnungen, die sofortige Einblicke in Ihre Umgebung ermöglichen.
Ein Bedrohungsstapel hat einen Fargate-Alarm in der Gruppenansicht erkannt.
Threat Stack-Support für Amazon EKS auf AWS Fargate wird im August 2021 allgemein verfügbar sein.
Threat Stack heißt jetzt F5 Distributed Cloud App Infrastructure Protection (AIP). Beginnen Sie noch heute damit, Distributed Cloud AIP mit Ihrem Team zu verwenden.