AWS 安全服务的整合力 - 从 GuardDuty 到 Detective 无需 SIEM 的原生威胁检测
解析 GuardDuty、Security Hub、Detective、Macie 协同实现的原生威胁检测机制,并与 Azure Sentinel 的设计思想进行比较。
原生整合的设计思想
AWS 的安全服务群并非独立工具的简单集合,而是以相互协作为前提进行设计的。GuardDuty 检测威胁,Security Hub 汇聚并排定检测结果的优先级,Detective 调查根本原因,Macie 定位敏感数据的所在位置。这一系列流程仅通过 AWS 原生服务即可完成。在传统的本地环境中,需要以 SIEM(Security Information and Event Management)为中心整合多种安全工具。日志的收集、标准化、关联分析、告警生成、事件调查各环节需要引入不同的工具,且自定义开发不可或缺。AWS 的原生整合大幅降低了这种整合成本。各服务通过 AWS Security Finding Format (ASFF) 这一通用格式交换数据,因此服务间的协作无需额外配置或自定义开发。
GuardDuty - 基于机器学习的持续威胁检测
GuardDuty 是一项托管威胁检测服务,自动分析 VPC Flow Logs、CloudTrail 管理事件和 DNS 日志,检测恶意活动。启用只需一键完成,无需安装代理或配置日志转发。支撑 GuardDuty 检测精度的是 AWS 拥有的大规模威胁情报和机器学习模型。它不仅能检测与已知恶意 IP 地址或域名的通信,还能通过机器学习检测异常的 API 调用模式和异常的数据传输量。例如,当一个通常只在东京区域操作的 IAM 用户突然在弗吉尼亚区域大量启动 EC2 实例时,GuardDuty 会将其检测为异常。2023 年新增了 EKS Runtime Monitoring,2024 年新增了 Malware Protection for S3,容器工作负载和存储中的恶意软件也被纳入检测范围。
Security Hub 与 Detective 协作提升调查效率
Security Hub 是一个集中汇聚来自 GuardDuty、Inspector、Macie、Firewall Manager 等多个安全服务检测结果的仪表板。它自动接收符合 ASFF 的检测结果,并根据严重程度进行优先级排序。同时执行 CIS AWS Foundations Benchmark 和 AWS Foundational Security Best Practices 等安全标准的自动评估,可视化合规状况。在 Security Hub 中识别高优先级告警后,转入 Detective 进行详细调查是典型的工作流程。Detective 将 CloudTrail 日志、VPC Flow Logs 和 GuardDuty 的检测结果积累到图数据库中,以可视化方式展示实体间的关系。可以按时间线追踪特定 IAM 角色从哪个 IP 地址调用了哪些 API,从而快速确定入侵的范围和路径。这一调查过程完全在 AWS 原生环境中完成,是相对于第三方 SIEM 的重大优势。
Macie 自动检测敏感数据
Amazon Macie 是一项通过机器学习和模式匹配自动检测 S3 存储桶中敏感数据的服务。可识别信用卡号、身份证号、护照号、API 密钥等 100 多种数据类型。Macie 的价值在于解决了组织「不知道敏感数据在哪里」这一根本性课题。在 S3 存储桶数量达到数百甚至数千的大规模环境中,手动盘点敏感数据并不现实。Macie 自动创建存储桶清单,一览加密状况、公共访问设置和敏感数据的有无。检测结果自动联动到 Security Hub,因此当敏感数据存在于未加密的存储桶中时,会立即作为 Security Hub 的告警可视化呈现。GuardDuty 检测外部威胁,Macie 检测内部敏感数据风险,通过这种分工,安全可视性从内外两方面得到覆盖。
与 Azure Sentinel 的设计思想比较
Azure Sentinel(现 Microsoft Sentinel)是云原生的 SIEM/SOAR 平台,与 AWS 的安全服务群在设计思想上有根本性差异。Sentinel 采用将日志汇聚到 Log Analytics 工作区并使用 KQL(Kusto Query Language)进行分析的方式。其强项在于不仅支持 Azure,还能接入 AWS、GCP 和本地环境的日志,实现多云支持。而 AWS 的方式是各服务专注于专业领域,通过 ASFF 进行协作的分布式模型。Sentinel 按日志接入量计费,分析大量日志时成本可能急剧增加。AWS 的 GuardDuty 将日志接入成本内含在服务中,无需关注分析对象的日志量。Sentinel 的优势在于与 Microsoft 365 和 Entra ID 的深度整合。能够统一分析邮件威胁检测、基于身份的攻击检测和终端 EDR 数据,对于使用 Microsoft 生态系统的组织具有重大价值。如需系统性理解 AWS 的原生整合,相关书籍 (Amazon) 也有帮助。
总结
AWS 的安全服务群是一个通过 ASFF 实现无缝协作的整合生态系统:GuardDuty 进行威胁检测,Security Hub 进行汇聚和优先级排序,Detective 进行根本原因调查,Macie 进行敏感数据检测。无需引入第三方 SIEM,从检测到调查的整个安全运维流程即可在 AWS 原生环境中完成。Azure Sentinel 在多云支持和 Microsoft 生态系统整合方面具有优势,但日志接入成本的管理是其课题。AWS 的方式最大的优点在于,仅需启用各服务即可立即提升安全可视性,以及服务间自动协作带来的低运维负担。在逐步提升安全运维成熟度的过程中,AWS 的原生整合是一个坚实的起点。