自疫情爆發以來,在疫情的影響下,提前布局產業數位轉型、上雲已成為各家企業相繼關注的焦點,在眾多雲端服務當中,Amazon Web Services ( AWS ) 仍然是各家企業的首選,隨著企業主使用愈來愈多 AWS 雲端服務,建立複雜的雲端架構來達到各家企業的業務目標,資訊安全的相關建構變得愈發重要。

AWS 致力於維護資訊安全,提供多元的資安服務供企業選擇。但資安要做到層層把關,密不透風的保護是相當不容易的事情,如果能夠偵測威脅來自哪裡、針對偵測到的威脅做妥善處理,對症下藥的持續監控方式是比較實際的做法。

在 AWS 眾多服務中,有一項資安服務能夠持續安全監控企業的雲端環境,偵測雲端環境中未經授權危害資安的威脅,此項服務名為 Amazon GuardDuty。

GuardDuty可分析和處理多個 AWS 資料來源(VPC Flow Logs、AWS CloudTrail Management Events、CloudTrail S3 Data Events和DNS Logs)中的多重事件,無需部署或維護軟、硬體即可使用。GuardDuty 利用威脅情報源(例如:惡意IP的列表)和機器學習以識別 AWS 環境中未經授權危害資安的活動。

GuardDuty 本身會自動創建一個基於時間日期的文件夾架構,並藉由 Lambda 重新組織排列文件夾架構。此排列方式是 GuardDuty 針對偵測監控而組織的排列結果 (Finding Type)。重新組織後,將視圖傳送至 QuickSight,使用者能更輕鬆的將想關注的監控結果視覺化。

企業只要在選定的區域開啟 GuardDuty,就可將 GuardDuty 監控結果提取至 Amazon Simple Storage Service (Amazon S3) 中,使用 Lambda 重組 S3文件夾結構,並透過 Glue 和 Athena 將嵌套的 JSON 結構轉換並產出相對應的列表與資料,最後透過 QuickSight 分析並將結果視覺化,同時可下載分析結果。此架構流程提供易執行且高效率的解決方案,可用於分析 GuardDuty 的監控結果,廣泛地展示處理和視覺化多元類型複雜的 JSON 日誌。

 

(GuardDuty Finding Type內容樣貌)

 

(視覺化範例)

 

當企業長期使用 AWS 的雲端服務,資訊安全的維護變得愈來愈重要,藉由使用 GuardDuty 加強 AWS 的雲端服務資安層級,建立一項持續安全監控的服務以識別雲端環境中未經授權的危害資安的惡意活動,並透過分析好的內容判斷和識別潛在的資安威脅,進而達到對症下藥的資訊安全防護措施。

身為企業的雲端數位長,CKmates 的使命是與企業並肩前行,企業只要專注於創造商業價值,將雲端服務託管於CKmates,以實現系統整合性和資安防護同時並進,企業得以持續成長、穩固前行。

 

 白皮書下載:AWS GuardDuty 雲端環境持續安全監控服務