AWS 提高了 Elastic Block Store、Kubernetes 服务的安全性

亚马逊的云平台正在为其一些广泛使用的服务扩展安全功能；Amazon Elastic Block Store (EBS) 和 Amazon Elastic Kubernetes Service (EKS)。

这项最新支持的形式是对几个现有 AWS 功能的更新，即 Amazon GuardDuty 和 Amazon Detective。

Amazon GuardDuty被描述为一种威胁检测服务，可以持续监控 AWS 账户和工作负载的恶意活动，并可以启动自动响应。

通过最新更新，Amazon GuardDuty 现在能够检测恶意软件，如果 GuardDuty 检测到客户 EC2 实例（或在 EC2 上运行的容器工作负载）正在执行被认为可疑的操作，则会启动恶意软件扫描。启动恶意软件扫描时，GuardDuty 实际上会为连接到可疑 EC2 实例且大小小于 1TB 的任何 Amazon Elastic Block Store (EBS) 卷拍摄快照，然后扫描快照以查找恶意软件。

GuardDuty 支持多种文件系统类型，并且能够扫描已知用于传播或包含恶意软件的文件格式，包括 Windows 和 Linux 可执行文件、PDF 文档、档案、二进制文件、脚本、安装程序、电子邮件数据库和普通旧电子邮件。

事实上，扫描似乎实际上是使用第三方安全工具执行的，因为 AWS 列出了许多与 GuardDuty 集成的合作伙伴产品，包括来自 BitDefender、Sophos 和 Palo Alto Networks 的产品。如果检测到恶意软件，用户可以选择保留快照以供进一步分析，否则将在扫描完成后将其删除。

Amazon GuardDuty 恶意软件保护在大多数提供 GuardDuty 的 AWS 区域都可用，但有少数例外。亚马逊表示，客户为文件系统中扫描的数据量付费，而不是为 EBS 卷本身的大小付费。

同时，Amazon Detective是一项完全托管的服务，旨在分析和识别潜在安全问题或可疑活动的根本原因。它通过将日志数据检查到一个图形模型中来做到这一点，该模型总结了整个 AWS 环境中的资源行为和交互。

Amazon Detective 中的更新功能现在将其安全调查范围扩展到在 Amazon EKS 下的容器中运行的工作负载。据亚马逊称，一旦客户启用，Detective 将自动开始提取 EKS 审计日志，以捕获来自用户、应用程序和 Amazon EKS 中的 Kubernetes 控制平面的 API 活动。

AWS 表示，Amazon Detective for EKS 在所有提供 Amazon Detective 的区域都可用，定价将基于分析的审计日志量。

但是，Detective 在启用 EKS 覆盖范围后提供 30 天免费试用，使客户能够确保这些功能满足他们的安全需求，并在承诺付费使用之前估算该服务的每月成本。