Echtzeit-Schutz: Überwachung aktiver Workloads (6/12)

2024-12-17

Machine-translated — the English original is authoritative.

Während das Scannen vor der Bereitstellung unerlässlich ist, ist der Laufzeitschutz die letzte Verteidigungslinie. Sobald Workloads aktiv sind, werden sie zunehmend bedrohlichen Entwicklungen wie Privilegieneskalationen, dateiloser Malware und Cryptomining-Angriffen ausgesetzt. Die Echtzeitüberwachung und -abschwächung sind entscheidend, um Ihre Produktionsumgebung zu schützen.

Für Organisationen, die darauf abzielen, die Anforderungen von DORA an die operative Kontinuität zu erfüllen, bietet der Laufzeitschutz die notwendige Sicherheit, um Workloads sicher und konform zu halten.

Warum Laufzeitschutz entscheidend ist

Cyber-Bedrohungen hören nicht auf, sobald Anwendungen bereitgestellt wurden. Ohne Laufzeitschutz:

• Schwachstellen in Produktionsumgebungen bleiben ausnutzbar.
• Unbefugter Zugriff oder bösartiges Verhalten können Workloads kompromittieren.
• Teams können Chancen verpassen, Risiken abzumildern, bevor sie eskalieren.

Wie Aqua CNAPP Workloads in Echtzeit sichert

1. Bereitstellung der richtigen Enforcers:
2. Aqua Enforcer: Wird auf VMs oder Kubernetes-Knoten installiert und bietet die umfassendsten Funktionen.
3. KubeEnforcer: Wirkt als Admission Controller in Kubernetes-Clustern.
4. MicroEnforcer: Wenn Sie über eingeschränkten Zugriff auf die Control Plane verfügen, aber diese Containeranwendungen dennoch sichern müssen – denken Sie an AWS Fargate-Workloads!
5. NanoEnforcer: Eingebettet in serverless Functions für Umgebungen wie AWS Lambda. Hinweis: Der Typ des Enforcers bestimmt die Kontrollen, die Ihnen in den Laufzeitrichtlinien zur Verfügung stehen.
6. Aktivieren von Standardrichtlinien:
7. Beginnen Sie mit den vorgefertigten Laufzeitrichtlinien von Aqua, die Kontrollen für folgende Bereiche umfassen:
   • Echtzeit-Malware-Erkennung: Blockiert bekannte bösartige Signaturen.
   • Verhinderung von Privilegieneskalation: Verhindert, dass Workloads mit unnötigen Berechtigungen ausgeführt werden.
   • Blockierung von Reverse Shells: Verhindert unbefugten Zugriff auf Workloads.
8. Übergang vom Alert- in den Enforce-Modus:
9. Beginnen Sie im reinen Alert-Modus, um Vorfälle zu überwachen, ohne den Betrieb zu stören.
10. Wechseln Sie schrittweise in den Enforce-Modus, um Bedrohungen automatisch zu blockieren, sobald die Teams mit den Richtliniendefinitionen vertraut sind.
11. Vorfallsberichterstattung und Integration:
12. Integrieren Sie Aqua mit Ihrer SIEM-Plattform, um die Vorfallsberichterstattung zu zentralisieren.
13. Bereiten Sie SOC-Teams detaillierte Warnmeldungen für eine schnelle Reaktion vor.

Praktisches Beispiel: Echtzeit-Erkennung von Cryptomining

Cryptomining ist eine häufige Laufzeitbedrohung. Aqua erkennt Anomalien in der CPU- oder Speichernutzung, korreliert diese mit bekannten Cryptomining-Mustern und warnt entweder das SOC-Team oder blockiert die Workload automatisch, abhängig von der Richtliniendefinition.

![Runtime Protection Policy Example](/blog/images/2024/12/real-time-protection-monitoring-active-workloads-6-1

Originally published on allthingscloud.eu (2024-12-17).