BLOG

Presentamos la compatibilidad con la pila de amenazas para AWS Fargate

Miniatura F5
F5
Actualizado el 9 de mayo de 2022

Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .

A medida que los clientes evalúan y diseñan nuevas formas de arquitecturas de contenedores administrados, Threat Stack estará allí para brindar una vista detallada de los sistemas en ejecución que pueden acelerar los casos de uso de cumplimiento avanzado y búsqueda de amenazas. Hoy presentamos la disponibilidad general de Threat Stack Container Security Monitoring para AWS Fargate, lo que amplía nuestra visión de toda la pila de seguridad en la nube.

En este artículo, describiremos cómo el nuevo soporte de Fargate de Threat Stack puede aumentar sus controles de seguridad de AWS existentes, y también veremos rápidamente cómo funcionan las alertas y la búsqueda de eventos para los metadatos de Fargate dentro de Threat Stack Cloud Security Platform®.

 

Nueva pila de amenazas: Fargate Agent

Como cliente, la misma mecánica básica de sus flujos de trabajo de Threat Stack se aplica a los metadatos de AWS Fargate para la generación de alertas, la personalización de reglas, la búsqueda de amenazas y más. Simplemente implemente el Agente, garantice la conectividad de la red y los datos de seguridad comenzarán a fluir hacia su plataforma Threat Stack.

Nuestro agente Fargate se ejecuta como un sidecar y se define como parte de la definición de tarea de Fargate en Amazon ECS . El agente supervisa dos aspectos clave de su entorno de ejecución de Fargate:

  1. Actividad del proceso dentro de los contenedores de Fargate
  2. Datos de flujo de red dentro y fuera de las tareas de Fargate

Threat Stack proporciona más contexto sobre Fargate con una vista completa y en tiempo real de los registros de AWS CloudTrail . Las aplicações que admiten las tareas de Fargate reciben protección de tiempo de ejecución adicional a través del Monitoreo de seguridad de aplicação de Threat Stack para código Node.js, Python y Ruby. Si bien consolidamos su vista de estos datos en la plataforma de Threat Stack, se suman a los controles de seguridad nativos de AWS para sus permisos de Amazon VPC y AWS IAM .

Metadatos de Fargate en la plataforma Threat Stack

Threat Stack proporciona detecciones predeterminadas para las actividades de Fargate, que incluyen:

  • Sesiones interactivas
  • Binarios SSHD
  • Intentos de exfiltración de datos
  • Conexiones de red inesperadas

Estas reglas de detección activan alertas en tiempo real, como la siguiente, para una conexión de red entrante inesperada:

La lógica subyacente que sustenta esta regla es fácilmente personalizable. He aquí un ejemplo simplificado:

event_type = "hostlessNetflow" y taskDst = "true" y srcIp != "10.0.0.0/8"

Threat Stack también proporciona una ventana detallada de todos los datos de eventos para respaldar las investigaciones forenses. Por ejemplo, los clientes pueden refinar fácilmente las búsquedas para ver toda la actividad del proceso para una tarea determinada dentro de un período de tiempo definido:

tipo_de_evento = "hostlessProcess" Y id_del_agente =
"7dd63b2d-a41d-11ea-92f9-2741263fc82a" Y hora_del_evento <
"1594402575809" Y hora_del_evento > "1594402565610"

Cada evento cuenta con detalles de apoyo, que los usuarios pueden ver en la interfaz de usuario. Por ejemplo, puede explorar el primer evento de la imagen de arriba para ver el JSON completo:

Pruébelo usted mismo

Comuníquese con su gerente de éxito del cliente o representante de ventas de Threat Stack para programar una demostración. Los clientes existentes también pueden evaluar el Agente Fargate por un período limitado accediendo a él a través de https://registry.hub.docker.com/u/threatstack .

Threat Stack ahora es F5 Distributed Cloud App Infrastructure Protection (AIP). Comience a utilizar Distributed Cloud AIP con su equipo hoy mismo .