Comment Threat Stack facilite la surveillance d'Amazon EKS sur AWS Fargate
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .
Il s'agit d'un article de blog conjoint écrit par Amber Bennoui, responsable produit technique senior pour l'interface utilisateur et l'agent et Sabin Thomas, vice-président de l'ingénierie AppSec.
Qu'est-ce que Fargate ?
Lancé par AWS en 2017, Fargate est un moteur de calcul sans serveur qui déploie et exécute des conteneurs sans avoir besoin de gérer des serveurs ou des clusters de machines virtuelles. En éliminant le besoin de gérer une infrastructure supplémentaire, Fargate aide les équipes Ops et les développeurs à se concentrer sur ce qu'ils font le mieux, c'est-à-dire développer et déployer du code d'application.
Fargate vous permet de provisionner à la demande une capacité de calcul adaptée aux conteneurs sur AWS, ECS et EKS. Threat Stack a historiquement fourni une visibilité pour ECS sur Fargate, mais est désormais ravi d'introduire les mêmes fonctionnalités pour EKS sur Fargate. Threat Stack est l'un des rares fournisseurs de sécurité cloud à couvrir à la fois EKS et ECS. En sécurisant vos charges de travail et, par conséquent, en recherchant les processus malveillants et les activités réseau, nous nous protégeons activement contre les menaces telles que l'exfiltration de données dans ces environnements. Cela est dû au fait que l'agent Threat Stack permet de surveiller les flux réseau Est-Ouest et Nord-Sud, vous permettant ainsi d'obtenir une visibilité complète sur votre environnement Fargate. Dans ce blog, nous examinerons en détail les détections proposées par Threat Stack pour Fargate EKS.
Pourquoi Amazon EKS sur AWS Fargate ?
Amazon EKS sur Fargate est une excellente option si vous exécutez Kubernetes natif et cherchez à alléger certaines des charges nécessaires à la maintenance et à la gestion de vos clusters. Fargate prend en charge tous les cas d'utilisation de conteneurs courants que vous pourriez utiliser, tels que les applications d'apprentissage automatique ou les applications d'architecture de microservices. De plus, les applications qui ne nécessitent pas de contrôle total de votre part sont d'excellents candidats pour Fargate, car vous pouvez lancer les conteneurs sans avoir à provisionner ou à gérer des instances EC2.
Étant donné que l’exécution d’EKS sur Fargate nécessite peu d’efforts pour maintenir à la fois Kubernetes et l’infrastructure sous-jacente de votre environnement, il s’agit d’une option intéressante pour les gestionnaires qui peuvent gérer plusieurs départements, comme DevOps et Sécurité. Cependant, même si l’exécution d’EKS sur Fargate fait peser une partie de la charge de sécurité sur AWS, celle-ci n’est pas entièrement couverte. Cela est dû au fait que Fargate déplace le modèle de responsabilité de sécurité partagée de la sécurité du cloud vers la sécurité dans le cloud.
Comme illustré ci-dessous, AWS assume la responsabilité de la protection de l’infrastructure qui exécute les services AWS dans le cloud AWS. Pour Fargate EKS, AWS est responsable du plan de contrôle Kubernetes, y compris les nœuds du plan de contrôle et la base de données etcd.
Modèle de responsabilité partagée AWS Fargate EKS, qui illustre la responsabilité du client et celle d'AWS.
Selon AWS, « la sécurité et la conformité sont une responsabilité partagée entre AWS et le client. Ce modèle partagé peut aider à alléger la charge opérationnelle du client, car AWS exploite, gère et contrôle les composants depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles le service fonctionne. Par conséquent, Threat Stack a fait de l’adaptation des fonctionnalités AWS une mission essentielle en gardant à l’esprit le modèle de responsabilité partagée. Par conséquent, la configuration de Threat Stack pour obtenir une visibilité complète sur la configuration du réseau et les processus d'application dans Fargate EKS peut être réalisée en quelques minutes, répondant ainsi au côté « client » du modèle de responsabilité partagée.
Installation et configuration
Vous trouverez ci-dessous un processus simple en trois étapes pour commencer à exécuter Threat Stack sur un exemple d’application sur EKS Fargate.
1. Nous montons d’abord un volume partagé dans le déploiement Kubernetes qui est accessible à la fois par le conteneur d’application et par le conteneur Threat Stack.
2. Nous mettons ensuite à jour le déploiement Kubernetes existant ici avec un initContainer pour permettre l'instrumentation initiale de l'agent.
3. Enfin, nous ajoutons le sidecar Threat Stack qui s’exécute lorsque le conteneur d’application apparaît.
Utilisez Threat Stack pour surveiller en toute sécurité Amazon EKS sur AWS Fargate
Une fois l'agent Threat Stack déployé sur votre application exécutée sur Fargate EKS, vous devriez voir les événements s'afficher sur la plateforme Threat Stack, ainsi que la possibilité d'appliquer des règles gérées par Threat Stack à ces événements ou de créer des règles personnalisées.
Threat Stack fournit une surveillance et une détection en temps réel pour l'activité suivante dans votre environnement Fargate EKS :
- Séances interactives
- Binaires SSHD
- Tentatives d'exfiltration de données
- Connexions réseau inattendues
Les événements de Threat Stack font apparaître un contexte important à un niveau élevé, permettant aux utilisateurs d'effectuer rapidement des enquêtes médico-légales sur les processus et les métadonnées des événements réseau, la période et les charges de travail spécifiques :
Vue récapitulative des événements du processus Fargate.
Un aperçu de l’ensemble de règles Fargate géré par Threat Stack.
Les événements de processus Fargate ou Netflow qui correspondent à une règle gérée ou personnalisée de Threat Stack génèrent des alertes exploitables qui permettent une visibilité immédiate sur votre environnement.
Une pile de menaces a détecté une alerte Fargate dans la vue de groupe.
La prise en charge de Threat Stack pour Amazon EKS sur AWS Fargate sera généralement disponible en août 2021.
Threat Stack est désormais F5 Distributed Cloud App Infrastructure Protection (AIP). Commencez à utiliser Distributed Cloud AIP avec votre équipe dès aujourd'hui .