AWS中通过Endpoint Security(如Amazon GuardDuty)与安全组、网络ACL联动实现协同防御

设计AWS云架构方案实现基于AWS Endpoint Security(EPS)与AWS服务深度集成,结合AWS CLI或管理控制台,EPS与VPC安全组、网络ACL联动,实现网络层与终端层的协同防御。例如,当EPS检测到某实例被入侵时,可通过API自动调整安全组规则,限制其出站流量,以及具体实现的详细步骤和关键代码。

通过此方案,可实现终端层与网络层的实时联动防御,提升AWS环境的安全性。


架构设计概述

  1. 检测层:使用Amazon GuardDuty监控EC2实例的安全事件。
  2. 事件触发:通过Amazon EventBridge捕获GuardDuty事件并触发Lambda函数。
  3. 响应层:Lambda函数自动修改安全组规则限制受感染实例的出站流量,可选联动网络ACL。
  4. 恢复机制:记录原始安全组配置,支持手动或自动恢复。

详细步骤

1. 启用Amazon GuardDuty
  • 在AWS控制台启用GuardDuty,并配置检测规则(默认已包含常见威胁检测)。

2. 创建EventBridge规则监听GuardDuty事件
  • 规则名称 : guardduty-to-lambda

  • 事件模式 :

    json 复制代码
    {
      "source": ["aws.guardduty"],
      "detail-type": ["GuardDuty Finding"],
      "detail": {
        "severity": [7, 8, 8.9, 9],  // 高严重性事件
        "resource": {"resourceType": ["Instance"]}
      }
    }
  • 目标:选择后续创建的Lambda函数。


3. 创建Lambda函数处理事件
  • Runtime: Python 3.9+

  • IAM角色 :附加以下权限策略:

    json 复制代码
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "ec2:CreateSecurityGroup",
            "ec2:AuthorizeSecurityGroupIngress",
            "ec2:RevokeSecurityGroupEgress",
            "ec2:ModifyInstanceAttribute",
            "ec2:DescribeInstances"
          ],
          "Resource": "*"
        }
      ]
    }

4. Lambda函数代码
python 复制代码
import boto3

def lambda_handler(event, context):
    # 解析事件中的实例ID
    instance_id = event['detail']['resource']['instanceDetails']['instanceId']
    ec2 = boto3.resource('ec2')
    instance = ec2.Instance(instance_id)
    
    # 获取实例的私有IP(用于网络ACL可选步骤)
    private_ip = instance.private_ip_address
    
    # 创建隔离安全组,仅允许管理员SSH访问
    ec2_client = boto3.client('ec2')
    isolated_sg = ec2_client.create_security_group(
        GroupName='Isolated_SG',
        Description='Restrict all outbound traffic',
        VpcId=instance.vpc_id
    )
    sg_id = isolated_sg['GroupId']
    
    # 添加入站规则:允许管理员IP访问SSH
    ec2_client.authorize_security_group_ingress(
        GroupId=sg_id,
        IpPermissions=[{
            'IpProtocol': 'tcp',
            'FromPort': 22,
            'ToPort': 22,
            'IpRanges': [{'CidrIp': 'YOUR_ADMIN_IP/32'}]
        }]
    )
    
    # 移除默认出站规则并拒绝所有出站
    ec2_client.revoke_security_group_egress(
        GroupId=sg_id,
        IpPermissions=[{'IpProtocol': '-1', 'IpRanges': [{'CidrIp': '0.0.0.0/0'}]}]
    )
    
    # 将实例关联到新安全组
    instance.modify_attribute(Groups=[sg_id])
    
    # (可选)修改网络ACL
    subnet = ec2.Subnet(instance.subnet_id)
    nacl_id = subnet.network_acl_id
    
    # 添加拒绝该实例出站的ACL规则(规则号需唯一)
    ec2_client.create_network_acl_entry(
        NetworkAclId=nacl_id,
        RuleNumber=100,
        Protocol='-1',
        RuleAction='deny',
        Egress=True,
        CidrBlock=f'{private_ip}/32'
    )
    
    return {'status': 'success'}

5. 测试与验证
  1. 模拟一次入侵(如触发GuardDuty的测试事件)。
  2. 检查Lambda日志(CloudWatch Logs),确认安全组和网络ACL被正确修改。
  3. 验证受感染实例的出站流量是否被阻断。

6. 恢复流程
  • 手动恢复
    1. 将实例重新关联原始安全组。
    2. 删除临时创建的隔离安全组和网络ACL条目。
  • 自动恢复:可通过额外Lambda定时任务或基于GuardDuty的解决事件触发。

关键注意事项

  1. 规则号冲突 :网络ACL的RuleNumber需唯一,建议使用动态生成的高位数值(如时间戳后几位)。
  2. 安全组默认规则:新安全组默认拒绝所有入站、允许所有出站,需显式移除出站规则。
  3. 跨账户支持:若GuardDuty跨账户检测,需配置EventBridge跨账户权限。
相关推荐
无心水2 小时前
【全域智能营销实战】2、Spring AI 模块化架构深度解读:从 1.0 到 2.0 的演进与最佳实践
人工智能·spring·架构·harness·顶尖架构师·全域智能营销·harmess
HavenlonLabs2 小时前
Havenlon 对抗性完整(十七):安全不是“防住攻击”,而是控制失败方式
网络·人工智能·架构·安全威胁分析·安全架构·havenlon
doiito(Do It Together)2 小时前
media_agent 进化之路:把 Gliding Horse 的 Agent 超能力注入 ComfyUI,让图片生成自己“学会”优化
人工智能·架构·rust·knowledge graph
fei_sun2 小时前
路径MTU发现
linux·运维·网络
触底反弹3 小时前
🔥 从点积到 Transformer:我终于搞懂大模型是怎么"猜"出下一个词的了
人工智能·机器学习·架构
2601_962502903 小时前
服装点胶点钻设备的算法架构与工艺适配分析
架构
tachibana24 小时前
hot100 回文链表(234)
java·网络·数据结构·leetcode·链表
从零开始的代码生活_5 小时前
NAT、代理服务与内网穿透详解
linux·服务器·网络·c++·http·智能路由器
云栖梦泽在5 小时前
Claude Code / Codex 使用卡顿怎么办?AI 编程 Agent 连接失败与网络排查思路
网络·人工智能·网络协议·chatgpt·性能优化
凡泰AI5 小时前
从个人用AI到企业用AI,如何为企业部署一套私有化Agent智能体运行时,将AI变成企业的基础设施
人工智能·ai·架构·agent·cio