Ayude a mejorar esta página
¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.
Detección de amenazas con Amazon GuardDuty
Amazon GuardDuty es un servicio de detección de amenazas que ayuda a proteger las cuentas, los contenedores, las cargas de trabajo y los datos de su entorno de AWS. Mediante modelos de machine learning (ML) y capacidades de detección de anomalías y amenazas, GuardDuty supervisa continuamente los diferentes orígenes de registro y la actividad en tiempo de ejecución para identificar y priorizar los posibles riesgos de seguridad y actividades maliciosas en su entorno.
Entre otras características, GuardDuty ofrece las siguientes dos características que detectan posibles amenazas para sus clústeres de EKS: Protección de EKS y Supervisión en tiempo de ejecución.
- Protección de EKS
-
Esta característica proporciona una cobertura de detección de amenazas para ayudarlo a proteger los clústeres de Amazon EKS mediante la supervisión de los registros de auditoría de Kubernetes asociados. Los registros de auditoría de Kubernetes capturan las acciones secuenciales del clúster, incluidas las actividades de los usuarios, las aplicaciones que utilizan la API de Kubernetes y el plano de control. Por ejemplo, GuardDuty puede identificar que las API llamadas para manipular los recursos de un clúster de Kubernetes fueron invocadas por un usuario no autenticado.
Al activar la Protección de EKS, GuardDuty solo podrá acceder a los registros de auditoría de Amazon EKS para detectar amenazas de forma continua. Si GuardDuty identifica una amenaza potencial para el clúster, genera un resultado del registro de auditoría de Kubernetes asociado de un tipo específico. Para obtener más información sobre los tipos de resultados disponibles en los registros de auditoría de Kubernetes, consulte los tipos de resultados de registros de auditoría de Kubernetes en la Guía del usuario de Amazon GuardDuty.
Para obtener más información, consulte Protección de EKS en la Guía del usuario de Amazon GuardDuty.
- Supervisión en tiempo de ejecución
-
Esta característica supervisa y analiza los eventos de archivos, redes y sistemas operativos para ayudarlo a detectar posibles amenazas en cargas de trabajo específicas de AWS en su entorno.
Cuando habilita la Supervisión del tiempo de ejecución e instala el agente GuardDuty en sus clústeres de Amazon EKS, GuardDuty comienza a supervisar los eventos de tiempo de ejecución asociados a este clúster. Si GuardDuty identifica una amenaza potencial para el clúster, genera un resultado de la supervisión del tiempo de ejecución asociado. Por ejemplo, una amenaza puede empezar por comprometer un único contenedor que ejecuta una aplicación web vulnerable. Es posible que esta aplicación web tenga permisos de acceso a los contenedores y las cargas de trabajo subyacentes. En este escenario, las credenciales mal configuradas podrían dar lugar a un acceso más amplio a la cuenta y a los datos almacenados en ella.
Para configurar Runtime Monitoring, instale el agente de GuardDuty en el clúster como complemento de Amazon EKS. Para obtener más información del complemento, consulte Complementos de Amazon EKS disponibles desde AWS.
Para obtener más información, consulte Runtime Monitoring en la Guía del usuario de Amazon GuardDuty.