Sistema Serverless para la Detección de Incidencias en AWS

Abstract

[ES] Las cuentas de AWS a menudo son compartidas por diferentes usuarios (muti-tenancy). Esto implica que una fuga de credenciales o un abuso por parte de un usuario puede provocar una alteración en el uso habitual de recursos de dicha cuenta de AWS. Una adecuada implementación del principio de privilegio mínimo únicamente permite realizar ciertas acciones empleando determinados servicios de AWS. Sin embargo, no resulta fácil detectar cuándo un usuario ha desplegado de forma seguida un determinado número de instancias de Amazon EC2, el servicio de despliegue de máquinas virtuales o creado ciertos buckets de Amazon S3, el servicio de almacenamiento de objetos, o invocado ciertas veces una determinada función de AWS Lambda, el principal servicio de computación serverless. Sin embargo, esta información es especialmente relevante para el propietario de la cuenta de AWS con el objetivo de mitigar el impacto derivado del abuso.

Por ello, este trabajo de final de máster plantea la creación de un sistema serverless que permita, a partir de la definición de reglas y la evaluación de estas, alertar de la ocurrencia de ciertos eventos que puedan ser considerados anómalos en base a dichas reglas. Para ello se basará en logs de eventos obtenidos a través de CloudTrail, el servicio que proporciona AWS para monitorizar y registrar toda la actividad de una cuenta. Para llevar a cabo el desarrollo, se emplearán distintos servicios serverless ofrecidos por AWS, los cuales se conectarán y formarán una arquitectura capaz de detectar este tipo de comportamientos.

[EN] AWS accounts are often shared by multiple users (multi-tenancy). This means that a credential leak or abuse can lead to a disruption in the normal resource usage of that AWS account. A proper implementation of the least privilege principle only allows a user to perform specific actions using certain AWS services. However, it is not easy to detect when a user has deployed several EC2 instances in a row, created certain number of S3 buckets or invoked and AWS Lambda function a certain number of times. Nevertheless, this information is particularly relevant for the AWS account owner in order to mitigate the impact of abuse.

For this reason, this final master¿s project proposes the creation of a serverless system which, based on the definition of rules and the evaluation of these, would alert to the ocurrence of certain events that could be considered anomalous on the basis of these rules. This will be based on event logs obtained through CloudTrail, the AWS service to monitor and record all the activity in an account. To carry out the development, different serverless services will be used. These services will be connected to each other, forming an architecture capable of detecting this type of behaviour.