So funktioniert Runtime Monitoring mit Amazon EKS-Clustern - Amazon GuardDuty
Ansätze zur Verwaltung von GuardDuty Sicherheitsagenten in Amazon EKS-Clustern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So funktioniert Runtime Monitoring mit Amazon EKS-Clustern

Runtime Monitoring verwendet ein EKS-Add-on aws-guardduty-agent, das auch als GuardDuty Security Agent bezeichnet wird. Nachdem der GuardDuty Security Agent auf Ihren EKS-Clustern installiert wurde, GuardDuty kann er Runtime-Ereignisse für diese EKS-Cluster empfangen.

Hinweise

Runtime Monitoring unterstützt Amazon EKS-Cluster, die auf EC2 Amazon-Instances ausgeführt werden, und Amazon EKS Auto Mode.

Runtime Monitoring unterstützt keine Amazon EKS-Cluster mit Amazon EKS-Hybridknoten und solche, die darauf ausgeführt AWS Fargate werden.

Informationen zu diesen Amazon EKS-Funktionen finden Sie unter Was ist Amazon EKS? im Amazon EKS-Benutzerhandbuch.

Sie können die Laufzeitereignisse Ihrer Amazon EKS-Cluster entweder auf Konto- oder Clusterebene überwachen. Sie können den GuardDuty Security Agent nur für die Amazon EKS-Cluster verwalten, die Sie im Hinblick auf die Erkennung von Bedrohungen überwachen möchten. Sie können den GuardDuty Security Agent entweder manuell verwalten oder indem GuardDuty Sie die automatische Agentenkonfiguration verwenden, indem Sie die automatische Agentenkonfiguration verwenden.

Wenn Sie den Ansatz der automatisierten Agentenkonfiguration verwenden, GuardDuty um die Bereitstellung des Security Agents in Ihrem Namen zu verwalten, wird automatisch ein Amazon Virtual Private Cloud (Amazon VPC) -Endpunkt erstellt. Der Security Agent übermittelt die Runtime-Ereignisse über diesen Amazon VPC-Endpunkt an. GuardDuty

Erstellt zusammen mit dem VPC-Endpunkt GuardDuty auch eine neue Sicherheitsgruppe. Die Regeln für eingehenden Datenverkehr (Eingangsregeln) steuern den Datenverkehr, der die Ressourcen erreichen darf, die der Sicherheitsgruppe zugeordnet sind. GuardDuty fügt eingehende Regeln hinzu, die dem VPC-CIDR-Bereich für Ihre Ressource entsprechen, und passt sich auch an diesen an, wenn sich der CIDR-Bereich ändert. Weitere Informationen finden Sie unter VPC CIDR-Bereich im Amazon VPC-Benutzerhandbuch.

Hinweise

  • Für die Nutzung des VPC-Endpunkts fallen keine zusätzlichen Kosten an.

  • Arbeiten mit zentralisierter VPC mit automatisiertem Agenten — Wenn Sie die GuardDuty automatisierte Agentenkonfiguration für einen Ressourcentyp verwenden, GuardDuty wird in Ihrem Namen ein VPC-Endpunkt für alle erstellt. VPCs Dazu gehören die zentralisierte VPC und Spoke VPCs. GuardDuty unterstützt nicht die Erstellung eines VPC-Endpunkts nur für die zentralisierte VPC. Weitere Informationen zur Funktionsweise der zentralisierten VPC finden Sie unter Interface VPC Endpoints im AWS Whitepaper — Aufbau einer skalierbaren und sicheren Multi-VPC-Netzwerkinfrastruktur. AWS

Ansätze zur Verwaltung von GuardDuty Sicherheitsagenten in Amazon EKS-Clustern

Vor dem 13. September 2023 konnten Sie den Security Agent so konfigurieren, GuardDuty dass er auf Kontoebene verwaltet wird. Dieses Verhalten deutete darauf hin, dass der Security Agent standardmäßig auf allen EKS-Clustern verwaltet GuardDuty wird, die zu einem gehören AWS-Konto. GuardDuty Bietet jetzt eine detaillierte Funktion, die Ihnen bei der Auswahl der EKS-Cluster hilft, auf denen Sie den Security Agent verwalten GuardDuty möchten.

Wenn Sie Den GuardDuty Security Agent manuell verwalten wählen, können Sie immer noch die EKS-Cluster auswählen, die Sie überwachen möchten. Um den Agenten jedoch manuell verwalten zu können, ist die Erstellung eines Amazon VPC-Endpunkts für Sie AWS-Konto eine Voraussetzung.

Anmerkung

Unabhängig davon, welchen Ansatz Sie zur Verwaltung des GuardDuty Security Agents verwenden, ist EKS Runtime Monitoring immer auf Kontoebene aktiviert.

Verwalten Sie den Security Agent über GuardDuty

GuardDuty verteilt und verwaltet den Security Agent in Ihrem Namen. Sie können die EKS-Cluster in Ihrem Konto jederzeit überwachen, indem Sie einen der folgenden Ansätzen verwenden.

Überwachen Sie alle EKS-Cluster

Verwenden Sie diesen Ansatz, wenn Sie GuardDuty den Security Agent für alle EKS-Cluster in Ihrem Konto bereitstellen und verwalten möchten. Standardmäßig GuardDuty wird der Security Agent auch auf einem potenziell neuen EKS-Cluster installiert, der in Ihrem Konto erstellt wurde.

Auswirkungen der Verwendung dieses Ansatzes

  • GuardDuty erstellt einen Amazon Virtual Private Cloud (Amazon VPC) -Endpunkt, über den der GuardDuty Security Agent die Runtime-Ereignisse übermittelt GuardDuty. Es fallen keine zusätzlichen Kosten für die Erstellung des Amazon VPC-Endpunkts an, wenn Sie den Security Agent über GuardDuty verwalten.

  • Es ist erforderlich, dass Ihr Worker-Knoten über einen gültigen Netzwerkpfad zu einem aktiven guardduty-data VPC-Endpunkt verfügt. GuardDuty stellt den Security Agent auf Ihren EKS-Clustern bereit. Amazon Elastic Kubernetes Service (Amazon EKS) koordiniert die Bereitstellung des Sicherheitsagenten auf den Knoten innerhalb der EKS-Cluster.

  • GuardDuty Wählt auf der Grundlage der IP-Verfügbarkeit das Subnetz aus, um einen VPC-Endpunkt zu erstellen. Wenn Sie erweiterte Netzwerktopologien verwenden, müssen Sie überprüfen, ob die Konnektivität möglich ist.

Schließt selektive EKS-Cluster aus

Verwenden Sie diesen Ansatz, wenn Sie GuardDuty den Security Agent für alle EKS-Cluster in Ihrem Konto verwalten, aber ausgewählte EKS-Cluster ausschließen möchten. Bei dieser Methode wird ein Tag-basierter 1 Ansatz verwendet, bei dem Sie die EKS-Cluster taggen können, für die Sie keine Laufzeit-Ereignisse erhalten möchten. Das vordefinierte Tag muss GuardDutyManaged-false als Schlüssel-Wert-Paar haben.

Auswirkungen der Verwendung dieses Ansatzes

Bei diesem Ansatz müssen Sie die automatische GuardDuty Agentenverwaltung erst aktivieren, nachdem Sie den EKS-Clustern, die Sie von der Überwachung ausschließen möchten, Tags hinzugefügt haben.

Daher gilt auch für diesen Ansatz die Auswirkung von Verwalten Sie den Security Agent über GuardDuty. Wenn Sie Tags hinzufügen, bevor Sie die automatische GuardDuty Agentenverwaltung aktivieren, GuardDuty wird der Security Agent für die EKS-Cluster, die von der Überwachung ausgeschlossen sind, weder bereitgestellt noch verwaltet.

Überlegungen

  • Sie müssen das Tag-Schlüssel-Wert-Paar wie folgt hinzufügenGuardDutyManaged: false für die ausgewählten EKS-Cluster, bevor Sie die automatische Agentenkonfiguration aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS-Clustern installiert, bis Sie das Tag verwenden.

  • Sie müssen verhindern, dass die Tags geändert werden, es sei denn, es handelt sich um vertrauenswürdige Identitäten.

    Wichtig

    Verwalten Sie die Berechtigungen zum Ändern des Werts des GuardDutyManaged-Tags für Ihren EKS-Cluster mithilfe von Service-Kontrollrichtlinie oder IAM-Richtlinien. Weitere Informationen finden Sie unter Richtlinien zur Dienststeuerung (SCPs) im AWS Organizations Benutzerhandbuch oder Steuern des Zugriffs auf AWS Ressourcen im IAM-Benutzerhandbuch.

  • Bei einem potenziell neuen EKS-Cluster, den Sie nicht überwachen möchten, stellen Sie sicher, dass Sie bei der Erstellung dieses EKS-Clusters das Schlüssel-Wert-Paar GuardDutyManaged-false hinzufügen.

  • Bei diesem Ansatz werden auch dieselben Überlegungen berücksichtigt, wie für Überwachen Sie alle EKS-Cluster angegeben.

Ausgewählte EKS-Cluster einbeziehen

Verwenden Sie diesen Ansatz, wenn Sie GuardDuty die Updates für den Security Agent nur für ausgewählte EKS-Cluster in Ihrem Konto bereitstellen und verwalten möchten. Bei dieser Methode wird ein Tag-basierter 1-Ansatz verwendet, bei dem Sie die EKS-Cluster markieren können, für die Sie Laufzeit-Ereignisse erhalten möchten.

Auswirkungen der Verwendung dieses Ansatzes

  • Durch die Verwendung von Inklusion-Tags GuardDuty wird der Security Agent automatisch nur für die ausgewählten EKS-Cluster bereitgestellt und verwaltet, die mit GuardDutyManaged - true als Schlüssel-Wert-Paar gekennzeichnet sind.

  • Dieser Ansatz hat auch die gleichen Auswirkungen, wie für Überwachen Sie alle EKS-Cluster angegeben.

Überlegungen

  • Wenn der Wert des GuardDutyManaged-Tags nicht auf true festgelegt ist, funktioniert das Einschließen-Tag nicht wie erwartet, und dies kann sich auf die Überwachung Ihres EKS-Clusters auswirken.

  • Um sicherzustellen, dass Ihre ausgewählten EKS-Cluster überwacht werden, müssen Sie verhindern, dass die Tags geändert werden, es sei denn, es handelt sich um vertrauenswürdige Identitäten.

    Wichtig

    Verwalten Sie die Berechtigungen zum Ändern des Werts des GuardDutyManaged-Tags für Ihren EKS-Cluster mithilfe von Service-Kontrollrichtlinie oder IAM-Richtlinien. Weitere Informationen finden Sie unter Richtlinien zur Dienststeuerung (SCPs) im AWS Organizations Benutzerhandbuch oder Steuern des Zugriffs auf AWS Ressourcen im IAM-Benutzerhandbuch.

  • Bei einem potenziell neuen EKS-Cluster, den Sie nicht überwachen möchten, stellen Sie sicher, dass Sie bei der Erstellung dieses EKS-Clusters das Schlüssel-Wert-Paar GuardDutyManaged-false hinzufügen.

  • Bei diesem Ansatz werden auch dieselben Überlegungen berücksichtigt, wie für Überwachen Sie alle EKS-Cluster angegeben.

1Weitere Informationen zum Markieren von ausgewählten EKS-Clustern finden Sie unter Markieren Ihrer Amazon-EKS-Ressourcen im Amazon-EKS-Benutzerhandbuch.

Den GuardDuty Security Agent manuell verwalten

Verwenden Sie diesen Ansatz, wenn Sie den GuardDuty Security Agent auf all Ihren EKS-Clustern manuell verteilen und verwalten möchten. Stellen Sie sicher, dass EKS-Laufzeit-Überwachung für Ihre Konten aktiviert ist. Der GuardDuty Security Agent funktioniert möglicherweise nicht wie erwartet, wenn Sie EKS Runtime Monitoring nicht aktivieren.

Auswirkungen der Verwendung dieses Ansatzes

Sie müssen die Bereitstellung des GuardDuty Security Agents in Ihren EKS-Clustern für alle Konten und für alle Standorte, AWS-Regionen an denen diese Funktion verfügbar ist, koordinieren. Sie müssen auch die Agent-Version aktualisieren, wenn sie GuardDuty veröffentlicht wird. Weitere Informationen zu Agentenversionen für EKS finden Sie unterGuardDuty Security-Agent-Versionen für Amazon EKS-Ressourcen.

Überlegungen

Sie müssen einen sicheren Datenfluss unterstützen und gleichzeitig Deckungslücken überwachen und schließen, da ständig neue Cluster und Workloads bereitgestellt werden.