AWS更新威胁检测功能，面向容器、数据库和无服务器应用

AWS近日宣布，Amazon GuardDuty平台即将推出更多威胁检测功能。

AWS表示，此次更新旨在提高客户安全性，同时更好地保护他们的AWS资源免受恶意行为和未经授权行为的侵害。

Amazon GuardDuty安全监控服务可以用于分析和处理基础数据源，例如AWS CloudTrail管理事件、AWS CloudTrail事件日志和域名系统日志，持续监控这些来源是否存在可能对客户AWS环境存在恶意威胁的可疑活动，已经被数百家企业客户使用，包括西门子、Arctic Wolf Networks和Best Buy。

AWS表示，这些新的威胁检测功能将帮助客户更好地保护他们的应用容器，这些容器托管现代应用、数据库和无服务器工作负载的组件。例如，GuardDuty EKS Runtime Monitoring针对Amazon Elastic Kubernetes Service的用户引入了一个完全托管的轻型安全代理。

它可以分析和监控主机操作系统级行为（如文件访问、进程执行和网络连接）。AWS表示，凭借GuardDuty对运行时事件、Kubernetes审计日志、以及更广泛的AWS控制平面和网络日志的扩展可见性，客户可以更轻松地识别攻击步骤，并在威胁升级为严重安全漏洞之前遏制威胁。

还有GuardDuty RDS Protection，专为Amazon Aurora数据库服务设计，可以在不影响性能、生产力和可用性的情况下发现潜在威胁。同时它会分析和监控客户账户中的所有访问活动，利用Amazon复杂的威胁情报知识和经过上下文化的RDS登录活动训练过的机器学习模型来检测任何可疑用户的不当行为。

最后是GuardDuty Lambda Protection，它有助于降低AWS客户无服务器应用中的风险。AWS解释说，由于增加了无服务器工作负载的抽象，使用传统的威胁检测方法可能具有挑战性，其中应用的底层基础设施是完全由AWS管理的。GuardDuty Lambda Protection持续监控无服务器工作负载，分析映射回各个Lambda函数的网络通信，以检测恶意通信和主流危害活动，例如加密货币挖掘等等。

此次更新后，所有现有的GuardDuty用户都可以免费使用这些新功能。部署或维护新代理不需要采取任何措施，因此客户可以获得所有好处而无需担心额外的开销。

AWS强调，收集、综合和警告安全相关事件的重要性怎么强调都不为过，如今安全领域每天都会有新的威胁不断进化发展，因此这对任何组织的风险管理计划来说都是必不可少的。

AWS安全服务副总裁Jon Ramsey表示，Amazon最大的2000家客户中，有超过90%的客户已经在使用Amazon GuardDuty，预计这一新功能会产生立竿见影的效果。

他说：“GuardDuty的新功能建立在这个强大的基础之上，可以进一步扩展安全检测和监控，扩展到客户最需要的地方：容器的运行时监控、数据库和无服务器应用。自从我们引入GuardDuty以来，我们托管检测的数量增加了两倍多。”

这些新功能现已在提供Amazon GuardDuty的所有区域上线了。