修复发现的安全问题 GuardDuty - 亚马逊 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复发现的安全问题 GuardDuty

GuardDuty RDS 保护现已推出预览版。您对 RDS 保护功能的使用受Amazon服务条款第 2 节(“测试版和预览版”)的约束。

亚马逊 GuardDuty 生成的调查结果表明存在潜在的安全问题。在此版本中 GuardDuty,潜在的安全问题表明 EC2 实例或容器工作负载受损,或者您的Amazon环境中存在一组已泄露的凭证。以下部分介绍了针对这些情形的推荐的remediation 步骤。如果有其他补救方案,则将在该特定发现类型的条目中对其进行描述。通过从 “活动查找结果类型” 表中选择查找结果类型,可以访问有关该查找结果的完整信息。

修复受感染的 EC2 实例

按照以下推荐步骤修复Amazon环境中受感染的 EC2 实例:

  1. 隔离受影响的 EC2 实例。

    调查可能遭盗用实例中的恶意软件,并清除任何发现的恶意软件。您可以查看,看看Amazon Web Services Marketplace是否有一些有用的合作伙伴产品可以识别和删除恶意软件。

  2. 如果您无法识别和阻止 EC2 实例上未经授权的活动,我们建议您终止遭盗用的 EC2,然后根据需要使用新实例来替换它。以下是可以保护您 EC2 实例的其他资源:

  3. 在Amazon开发者论坛上浏览以获取更多帮助:https://forums.aws.amazon.com/index.jspa

  4. 如果您是 Premium Support 服务包的订阅者,您可以提交技术支持请求。

修复受感染的 S3 存储桶

按照以下推荐步骤修复Amazon环境中受损的 Amazon S3 存储桶:

  1. 确定受影响的 S3 资源。

    S3 的 GuardDuty 调查结果将在查找结果详细信息中列出 S3 存储桶、存储桶的 Amazon 资源编号 (ARN) 和存储桶所有者。

  2. 确定可疑活动的来源和所使用的 API 调用。

    使用的 API 调用将在调查结果详细信息中作为 API 列出。来源将是 IAM 委托人(IAM 用户、角色或账户),身份详细信息将在调查结果中列出。根据源类型,远程 IP 地址或源域信息将可用,可以帮助您评估来源是否已获得授权。如果调查结果涉及来自 EC2 实例的证书,则还将包括该资源的详细信息。

  3. 确定呼叫源是否有权访问已识别的资源。

    例如,考虑以下各项:

    • 如果 IAM 用户参与其中,他们的证书是否可能已被泄露? 请参阅以下关于修复被盗Amazon凭据的部分。

    • 如果从以前没有调用此类API历史的委托人调用了API,则此源是否需要访问权限才能进行此操作? 可以进一步限制存储桶权限吗?

    • 如果从用户名中看到访问权限,用户类型ANONYMOUS_PRINCIPAL为,则表明AWSAccount该存储桶是公共存储桶并且已被访问。这个存储桶应该公开吗? 如果不是,请查看以下安全建议,了解共享 S3 资源的替代解决方案。

    • 如果通过用户名ANONYMOUS_PRINCIPAL成功PreflightRequest调用进行访问,用户类型为,AWSAccount则表明存储桶设置了跨源资源共享 (CORS) 策略。这个存储桶应该有 CORS 策略吗? 如果不是,请确保存储桶不会无意中公开,并查看以下安全建议,了解共享 S3 资源的替代解决方案。有关 CORS 的更多信息,请参阅 S3 用户指南中的使用跨源资源共享 (CORS)

如果访问已获授权,您可以忽略结果。https://console.aws.amazon.com/guardduty/ 控制台允许你设置规则,完全抑制个别发现,这样它们就不会再出现。有关更多信息,请参阅 黑名单

如果您确定您的 S3 数据已被未授权方泄露或访问,请查看以下 S3 安全建议,以加强权限并限制访问。适当的remediation 解决方案将取决于您特定环境的需求。

以下是基于特定 S3 访问需求的一些建议:

  • 要以集中方式限制对 S3 数据的公共访问,请使用 S3 阻止公共访问。可以通过四种不同的设置为接入点、存储桶和Amazon账户启用屏蔽公共访问设置,以控制访问的精度。有关更多信息,请参阅 S3 阻止公有访问设置

  • Amazon访问策略可用于控制 IAM 用户如何访问您的资源或如何访问您的存储桶。有关更多信息,请参阅使用存储桶策略和用户策略

    此外,您还可以使用 S3 存储桶策略的Virtual Private Cloud (VPC) 终端节点限制访问特定 VPC 终端节点。有关更多信息,请参阅 Amazon S3 的 VPC 终端节点的示例存储桶策略

  • 要暂时允许账户外部的可信实体访问您的 S3 对象,您可以通过 S3 创建预签名 URL。此访问权限是使用您的账户凭证创建的,视所使用的凭证而定,可能持续 6 小时到 7 天。有关更多信息,请参阅使用 S3 生成预签名 URL

  • 对于需要在不同源之间共享 S3 对象的用例,您可以使用 S3 接入点创建权限集,将访问权限限制为仅限私有网络中的用户。有关更多信息,请参阅使用 Amazon S3 访问点管理数据访问

  • 要安全地向其他Amazon账户授予对您的 S3 资源的访问权限,您可以使用访问控制列表 (ACL),有关更多信息,请参阅使用 ACL 管理 S3 访问权限

有关 S3 安全选项的完整概述,请参阅 S3 安全最佳实践

修复受感染的 ECS 集群

按照以下推荐步骤修复Amazon环境中受感染的 ECS 群集:

  1. 识别受影响的 ECS 集群。

    ECS 的 GuardDuty 恶意软件防护调查结果在调查结果的详细信息面板中提供了 ECS 群集的详细信息。

  2. 评估恶意软件的来源

    评估检测到的恶意软件是否存在于容器的镜像中。如果图像中有恶意软件,请识别使用此图像正在运行的所有其他任务。有关正在运行的任务的信息,请参见ListTasks

  3. 隔离受影响的任务

    通过拒绝任务的所有入口和出口流量,隔离受影响的任务。拒绝所有流量规则可以切断与任务的所有连接,从而帮助阻止已经在进行的攻击。

如果访问已获授权,您可以忽略结果。https://console.aws.amazon.com/guardduty/ 控制台允许你设置规则,完全抑制个别发现,这样它们就不会再出现。有关更多信息,请参阅 黑名单

修复被盗的Amazon证书

按照以下推荐步骤修复Amazon环境中被盗的证书:

  1. 确定受影响的 IAM 实体和使用的 API 调用。

    使用的 API 调用将在调查结果详细信息中作为 API 列出。IAM 实体(IAM 用户或角色)及其识别信息将在调查结果详细信息的 Resource (资源) 部分中列出。所涉及的 IAM 实体的类型可由 User Type (用户类型) 字段确定,IAM 实体的名称将位于 User name (用户名) 字段中。调查结果中涉及的 IAM 实体的类型也可以由使用的 Access key ID (访问密钥 ID) 确定。

    对于以 AKIA 开头的密钥:

    此类密钥是与 IAM 用户或Amazon账户根用户相关的长期客户管理证书。有关管理 IAM 用户访问密钥的信息,请参阅管理 IAM 用户的访问密钥

    对于以 ASIA 开头的密钥:

    此类型的密钥是由 Amazon Security Token Service 生成的短期临时凭证。这些密钥仅存在很短的时间,无法在Amazon管理控制台中查看或管理。IAM 角色将始终使用Amazon STS证书,但也可以为 IAM 用户生成证书,有关更多信息,Amazon STS请参阅 IAM:临时安全证书

    如果使用了角色,则用户名字段将指示所用角色的名称。您可以Amazon CloudTrail通过检查 CloudTrail 日志条目的sessionIssuer元素来确定如何请求密钥,有关更多信息,请参阅 IAM 和中的Amazon STS信息 CloudTrail

  2. 查看 IAM 实体的权限。

    打开 IAM 控制台,根据使用的实体类型选择 Users (用户)Roles (角色) 选项卡,然后通过在搜索字段中键入已识别的名称来查找受影响的实体。使用 Permission (权限)Access Advisor (访问顾问) 选项卡可查看该实体的有效权限。

  3. 确定是否合法使用了 IAM 实体凭证。

    请与凭证用户联系以确定活动是否是有意进行的。

    例如,确定此用户是否执行了以下操作:

    • 调用了 GuardDuty 调查结果中列出的 API 操作

    • 在 GuardDuty 调查结果中列出的时间调用了 API 操作

    • 从 GuardDuty 调查结果中列出的 IP 地址调用了 API 操作

如果此活动是Amazon凭证的合法用途,则可以忽略 GuardDuty 调查结果。https://console.aws.amazon.com/guardduty/ 控制台允许你设置规则,完全抑制个别发现,这样它们就不会再出现。有关更多信息,请参阅 黑名单

如果您无法确认此活动是否为合法用途,则可能是由于特定访问密钥、IAM 用户的用户 ID 和密码或整个Amazon账户遭到泄露所致。如果您怀疑自己的凭据已被泄露,请查看 “我的Amazon帐户可能被泄露” 一文中的信息,以解决此问题。

修复受损的独立容器

  1. 隔离容器

    要识别恶意容器工作负载,请执行以下步骤:

    • 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

    • 在 “调查结果” 页面上,选择相应的查找结果以打开调查结果面板。

    • 在调查结果面板的 “受影响的资源” 部分下,您可以查看容器的 ID名称

    将此容器与其他容器工作负载隔离开来。

  2. 暂停容器

    暂停容器中的所有进程。有关如何冻结集装箱的信息,请参阅暂停容器。

    停下容器

    如果上述步骤失败,并且容器没有暂停,请停止容器运行。如果您启用了该快照保留功能,则 GuardDuty 将保留包含恶意软件的 EBS 卷的快照。

    有关如何停止容器的信息,请参阅停止容器

  3. 评估恶意软件的存在

    评估容器镜像中是否存在恶意软件。

如果访问已获授权,您可以忽略结果。https://console.aws.amazon.com/guardduty/ 控制台允许你设置规则,完全抑制个别发现,这样它们就不会再出现。 GuardDuty 控制台允许您设置规则,以完全抑制单个发现结果,使其不再出现。有关更多信息,请参阅黑名单