Protection en temps réel : Surveillance des charges de travail actives (6/12)

2024-12-17

Machine-translated — the English original is authoritative.

Bien que l'analyse avant le déploiement soit essentielle, la protection en cours d'exécution constitue la dernière ligne de défense. Une fois les charges de travail actives, elles deviennent exposées à des menaces évolutives telles que les élévations de privilèges, les logiciels malveillants sans fichier et les attaques de cryptomining. La surveillance et l'atténuation en temps réel sont cruciales pour protéger votre environnement de production.

Pour les organisations qui s'efforcent de répondre aux exigences de DORA en matière de continuité opérationnelle, la protection en cours d'exécution fournit l'assurance nécessaire pour maintenir la sécurité et la conformité des charges de travail.

Pourquoi la protection en cours d'exécution est cruciale

Les cybermenaces ne s'arrêtent pas une fois les applications déployées. Sans protection en cours d'exécution :

• Les vulnérabilités dans les environnements de production restent exploitables.
• Un accès non autorisé ou des comportements malveillants peuvent compromettre les charges de travail.
• Les équipes peuvent manquer des opportunités d'atténuer les risques avant qu'ils ne s'aggravent.

Comment Aqua CNAPP sécurise les charges de travail en temps réel

1. Déploiement des bons exécutants (Enforcers) :
2. Aqua Enforcer : Installé sur les machines virtuelles ou les nœuds Kubernetes, offrant les capacités les plus étendues.
3. KubeEnforcer : Agit comme un contrôleur d'admission dans les clusters Kubernetes.
4. MicroEnforcer : Lorsque vous avez un accès réduit au plan de contrôle mais que vous devez toujours sécuriser ces applications conteneurisées – pensez aux charges de travail AWS Fargate !
5. NanoEnforcer : Intégré dans les fonctions serverless pour des environnements comme AWS Lambda. Remarque : Le type d'exécutant détermine les contrôles disponibles pour vous dans les politiques de runtime.
6. Activation des politiques par défaut :
7. Commencez par les politiques de runtime préconstruites d'Aqua, qui incluent des contrôles pour :
   • Détection de logiciels malveillants en temps réel : Bloque les signatures malveillantes connues.
   • Prévention de l'élévation de privilèges : Empêche les charges de travail de s'exécuter avec des privilèges inutiles.
   • Blocage des shells inversés : Empêche l'accès non autorisé aux charges de travail.
8. Passage du mode Alerte au mode Enforcement :
9. Commencez en mode uniquement alerte pour surveiller les incidents sans perturber les opérations.
10. Passer progressivement au mode enforcement, bloquant automatiquement les menaces une fois que les équipes sont confiantes dans la configuration des politiques.
11. Rapports d'incidents et intégration :
12. Intégrez Aqua avec votre plateforme SIEM pour centraliser les rapports d'incidents.
13. Fournissez aux équipes SOC des alertes détaillées pour une réponse rapide.

Exemple pratique : Détection en temps réel du cryptomining

Le cryptomining est une menace courante en cours d'exécution. Aqua détecte les anomalies dans l'utilisation du CPU ou de la mémoire, les corrèle avec les modèles connus de cryptomining, et alerte l'équipe SOC ou bloque automatiquement la charge de travail, selon la configuration de la politique.

![Exemple de politique de protection en temps réel](/blog/images/2024/12/real-time-protection-monitoring-active-workloads-6-1

Originally published on allthingscloud.eu (2024-12-17).