AWSはGuardDutyの脅威検出機能をEKSクラスターに拡張し、コンテナレベルの脅威を検出するためにマネージドeBPFエージェントを使用する新しいランタイム監視機能を導入した。このアップデートにより、顧客はKubernetesデータプレーンから直接システムコールを分析することで、認証情報の流出、リバースシェル、暗号マイニングなどの疑わしい行動を特定できる。GuardDutyは、ユーザーがデプロイするエージェントではなく、マネージドインテグレーションを通じてインフラストラクチャにワークロード保護を組み込むクラウドネイティブセキュリティサービスの増加セットに加わる。
Kubernetesにおける従来のエージェントベースの脅威検出は、複雑さを増し、特権昇格を必要とし、攻撃対象領域が拡大するという点で、長い間批判されてきた。エージェントは管理された環境でのデプロイが難しく、貴重なノードリソースを消費することが多い。
Orca SecurityやWizのようなベンダーは、ランタイムフックではなくクラウドAPIやスナップショットを介して統合することで、エージェントレスのクラウドセキュリティを先駆けた。このアプローチは、仮想マシン、コンテナ、ストレージ、IAM構成全体にわたる広範な可視性を提供するが、OSレベルのイントロスペクションを必要とするリアルタイムの行動を見逃す可能性がある。
GuardDutyはハイブリッドアプローチを採用している。EKSクラスターにデプロイされたDaemonSetというエージェントを使用しながらも、AWSによって完全に管理される。顧客はエージェントをインストールまたは維持する必要がなく、アプリケーションコンテキスト外で実行されるため、サイドカーやインコンテナデプロイメントを回避できる。このアプローチにより、コンテナレベルでのより詳細なランタイム可視性が可能だ。
FalcoやCilium TetragonのようなオープンソースプロジェクトもeBPFベースの脅威検出を探求しており、強力な機能を提供するが、手動でのデプロイ、チューニング、および継続的なメンテナンスが必要だ。GuardDutyはAWSエコシステム内で運用するチームにとってその複雑さを抽象化する。
このサービスはシステムレベルのテレメトリを継続的に消費し、異常または悪意のある行動のパターンを分析し、GuardDutyコンソールおよびEventBridgeに発見を公開してインシデント対応ワークフローと統合する。
このテレメトリはデータプレーンからストリーミングされ、ポッドメタデータ、イメージID、ネームスペースなどのコンテキストが付加され、GuardDutyの検出エンジンによって分析される。
AWSは、拡張されたテレメトリスイートが疑わしいバイナリ実行、既知の暗号マイニングツール、脅威アクターへのネットワーク接続、および潜在的な認証情報窃取を検出できると主張している。
現在、この機能はEKS ProtectionまたはRuntime Monitoringが有効になっている場合にユーザーがアクセス可能だ。
GuardDutyのEKS拡張機能は、クラウドプロバイダーが脅威検出をマネージドインフラストラクチャに深く組み込み、顧客がデプロイするエージェントの必要性を減らす組み込みのセキュリティ機能を提供するという業界の広範なトレンドを反映している。Microsoft Defender for ContainersはAzure Kubernetes Service (AKS)のエージェントレススキャンをサポートし、Google CloudのSecurity Command CenterはEvent Threat Detection (ETD)を通じてKubernetesの脅威検出を含む。
この変化は偶然ではない。2024年のState of Kubernetes Security Reportでは、複雑さと構成のオーバーヘッドがKubernetesセキュリティソリューションの採用における主要な障壁であることを強調している。こうした背景から、GuardDutyの拡張脅威検出は、摩擦を減らしながら深いランタイム可視性を維持するために設計された組み込みの意見的な防御への移行を示している。