BLOGUE

Como o Threat Stack facilita o monitoramento do Amazon EKS no AWS Fargate

Miniatura F5
F5
Publicado em 28 de julho de 2021

O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .

Esta é uma postagem de blog conjunta escrita por Amber Bennoui, gerente sênior de produtos técnicos para UI e agente, e Sabin Thomas, vice-presidente de engenharia de segurança de aplicativos.

O que é Fargate?

Lançado pela AWS em 2017, o Fargate é um mecanismo de computação sem servidor que implanta e executa contêineres sem a necessidade de gerenciar servidores ou clusters de máquinas virtuais. Ao eliminar a necessidade de gerenciar infraestrutura adicional, o Fargate ajuda as equipes de operações e os desenvolvedores a se concentrarem no que fazem melhor, ou seja, desenvolver e implantar código de aplicativo. 

O Fargate permite que você provisione capacidade de computação sob demanda e do tamanho certo para contêineres na AWS, ECS e EKS. O Threat Stack historicamente forneceu visibilidade para o ECS no Fargate, mas agora está feliz em apresentar os mesmos recursos para o EKS no Fargate. A Threat Stack é um dos poucos provedores de segurança em nuvem que cobre EKS e ECS. Ao proteger suas cargas de trabalho e, por sua vez, procurar por processos maliciosos e atividades de rede, protegemos ativamente contra ameaças como exfiltração de dados nesses ambientes. Isso ocorre porque o agente Threat Stack permite o monitoramento dos fluxos de rede Leste-Oeste e Norte-Sul, permitindo que você obtenha visibilidade total do seu ambiente Fargate. Neste blog, daremos uma olhada abrangente nas detecções que o Threat Stack oferece para o Fargate EKS.

Por que o Amazon EKS no AWS Fargate?

O Amazon EKS no Fargate é uma excelente opção se você estiver executando o Kubernetes nativo e estiver procurando aliviar alguns dos encargos necessários para manter e gerenciar seus clusters. O Fargate oferece suporte a todos os casos de uso comuns de contêineres que você pode usar, como aplicativos de aprendizado de máquina ou aplicativos de arquitetura de microsserviços. Além disso, aplicativos que não exigem controle total de sua parte são ótimos candidatos ao Fargate, pois você pode iniciar os contêineres sem precisar provisionar ou gerenciar instâncias do EC2.

Considerando que executar o EKS no Fargate oferece pouco esforço para manter o Kubernetes e a infraestrutura subjacente em seu ambiente, esta é uma opção forte para gerentes que podem estar executando vários departamentos, como DevOps e Segurança. No entanto, embora a execução do EKS no Fargate faça com que parte da carga de segurança seja colocada na AWS, ela não é totalmente coberta. Isso ocorre porque o Fargate muda o modelo de responsabilidade de segurança compartilhada da segurança da nuvem para a segurança na nuvem.

Conforme ilustrado abaixo, a AWS assume a responsabilidade de proteger a infraestrutura que executa os serviços da AWS na Nuvem AWS. Para o Fargate EKS, a AWS é responsável pelo plano de controle do Kubernetes, incluindo os nós do plano de controle e o banco de dados etcd.

 

Figura 1: Como o Threat Stack facilita o monitoramento do Amazon EKS no AWS Fargate

Modelo de responsabilidade compartilhada do AWS Fargate EKS, que ilustra a responsabilidade do cliente e da AWS.

De acordo com a AWS, “segurança e conformidade são responsabilidades compartilhadas entre a AWS e o cliente. Este modelo compartilhado pode ajudar a aliviar a carga operacional do cliente, pois a AWS opera, gerencia e controla os componentes do sistema operacional do host e da camada de virtualização até a segurança física das instalações nas quais o serviço opera.” Como resultado, a Threat Stack tornou essencial a adaptação das funcionalidades da AWS com o modelo de responsabilidade compartilhada em mente. Portanto, a configuração do Threat Stack para obter visibilidade total da configuração de rede e dos processos de aplicativos no Fargate EKS pode ser realizada em minutos, cumprindo o lado do "cliente" do modelo de responsabilidade compartilhada.

Instalação e configuração

Abaixo está um processo simples de três etapas sobre como começar a executar o Threat Stack em um aplicativo de exemplo no EKS Fargate.

1. Primeiro, montamos um volume compartilhado na implantação do Kubernetes que pode ser acessado tanto pelo contêiner do aplicativo quanto pelo contêiner do Threat Stack.

Tabela 1: Como o Threat Stack facilita o monitoramento do Amazon EKS no AWS Fargate

2. Em seguida, atualizamos a implantação existente do Kubernetes aqui com um initContainer para permitir a instrumentação inicial do agente.

Tabela 2: Como o Threat Stack facilita o monitoramento do Amazon EKS no AWS Fargate

3. Por fim, adicionamos o sidecar Threat Stack que é executado quando o contêiner do aplicativo é iniciado.

Tabela 3: Como o Threat Stack facilita o monitoramento do Amazon EKS no AWS Fargate

Use o Threat Stack para monitorar com segurança o Amazon EKS no AWS Fargate

Depois que o agente Threat Stack for implantado em seu aplicativo em execução no Fargate EKS, você verá os eventos preenchidos na plataforma Threat Stack, juntamente com a capacidade de aplicar regras gerenciadas do Threat Stack a esses eventos ou criar regras personalizadas.

O Threat Stack fornece monitoramento e detecção em tempo real para as seguintes atividades no seu ambiente Fargate EKS:

  • Sessões interativas
  • Binários SSHD
  • Tentativas de exfiltração de dados
  • Conexões de rede inesperadas

Os eventos do Threat Stack revelam contexto importante em alto nível, permitindo que os usuários realizem investigações forenses em torno de processos rapidamente e metadados de eventos de rede, período de tempo e cargas de trabalho específicas:

Figura 2: Como o Threat Stack facilita o monitoramento do Amazon EKS no AWS Fargate

Exibição resumida de eventos do processo Fargate.

Figura 3: Como o Threat Stack facilita o monitoramento do Amazon EKS no AWS Fargate

Uma visão geral do conjunto de regras Fargate gerenciado pelo Threat Stack.

Os eventos de processo ou netflow do Fargate que correspondem a uma regra personalizada ou gerenciada do Threat Stack geram alertas acionáveis que permitem visibilidade imediata do seu ambiente.

Figura 4: Como o Threat Stack facilita o monitoramento do Amazon EKS no AWS Fargate

Um Threat Stack detectou um alerta Fargate na Exibição de Grupo.

O suporte do Threat Stack para Amazon EKS no AWS Fargate estará disponível em agosto de 2021.

O Threat Stack agora é F5 Distributed Cloud App Infrastructure Protection (AIP). Comece a usar o Distributed Cloud AIP com sua equipe hoje mesmo .