Voraussetzungen für die Unterstützung von Amazon EKS-Clustern - Amazon GuardDuty
Support für Amazon EKS-FunktionenValidierung der architektonischen AnforderungenÜberprüfen Sie die Service Control-Richtlinie Ihrer Organisation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Voraussetzungen für die Unterstützung von Amazon EKS-Clustern

Dieser Abschnitt enthält die Voraussetzungen für die Überwachung des Laufzeitverhaltens Ihrer Amazon EKS-Ressourcen. Diese Voraussetzungen sind entscheidend, damit der GuardDuty Agent wie erwartet funktioniert. Wenn diese Voraussetzungen erfüllt sind, beginnen GuardDuty Laufzeitüberwachung aktivieren Sie mit der Überwachung Ihrer Ressourcen.

Support für Amazon EKS-Funktionen

Runtime Monitoring unterstützt Amazon EKS-Cluster, die auf EC2 Amazon-Instances ausgeführt werden, und Amazon EKS Auto Mode.

Runtime Monitoring unterstützt keine Amazon EKS-Cluster mit Amazon EKS-Hybridknoten und solche, die darauf ausgeführt AWS Fargate werden.

Informationen zu diesen Amazon EKS-Funktionen finden Sie unter Was ist Amazon EKS? im Amazon EKS-Benutzerhandbuch.

Validierung der architektonischen Anforderungen

Die von Ihnen verwendete Plattform kann sich darauf auswirken, wie der GuardDuty Security Agent den Empfang von Runtime-Ereignissen aus Ihren EKS-Clustern unterstützt GuardDuty . Sie müssen bestätigen, dass Sie eine der verifizierten Plattformen verwenden. Wenn Sie den GuardDuty Agenten manuell verwalten, stellen Sie sicher, dass die Kubernetes-Version die GuardDuty Agentenversion unterstützt, die derzeit verwendet wird.

Verifizierte Plattformen

Die Betriebssystemverteilung, die Kernel-Version und die CPU-Architektur wirken sich auf die vom GuardDuty Security Agent bereitgestellte Unterstützung aus. Die folgende Tabelle zeigt die verifizierte Konfiguration für die Installation des GuardDuty Security Agents und die Konfiguration von EKS Runtime Monitoring.

Betriebssystem-Verteilung1 Kernel-Version2 Kernel-Unterstützung CPU-Architektur Unterstützte Kubernetes-Version

x64 () AMD64

Graviton () ARM64

(Graviton2 und höher) 3

Bottlerocket

eBPF-Tracepoints, Kprobe

Unterstützt

Unterstützt

5.4, 5,10, 5,15, 6,1 4

v1.23 - v1.32

Ubuntu

v1.21 - v1.32

AL2

AL2023 5

RedHat 9.4

5,14

Fedora 34,0

5,11, 5,17

CentOS Stream 9

5,14

  1. Support für verschiedene Betriebssysteme — GuardDuty hat die Unterstützung für die Verwendung von Runtime Monitoring auf den in der obigen Tabelle aufgeführten Betriebssystemen überprüft. Wenn Sie ein anderes Betriebssystem verwenden und den Security Agent erfolgreich installieren können, erhalten Sie möglicherweise alle erwarteten Sicherheitswerte, die mit der aufgelisteten Betriebssystemdistribution verifiziert wurden. GuardDuty

  2. Für jede Kernel-Version müssen Sie das CONFIG_DEBUG_INFO_BTF Flag auf y (was wahr bedeutet) setzen. Dies ist erforderlich, damit der GuardDuty Security Agent wie erwartet ausgeführt werden kann.

  3. Runtime Monitoring für Amazon EKS-Cluster unterstützt Graviton-Instances der ersten Generation wie A1-Instance-Typen nicht.

  4. Derzeit können mit der Kernel-Version keine 6.1 Generierungen GuardDuty vorgenommen werden, GuardDuty Runtime Monitoring: Typen finden die sich auf Folgendes beziehen. DNS-Ereignisse (Domain Name System)

  5. Runtime Monitoring unterstützt AL2 023 mit der Veröffentlichung des GuardDuty Security Agents v1.6.0 und höher. Weitere Informationen finden Sie unter GuardDuty Sicherheitsagent für Amazon EKS-Cluster.

Kubernetes-Versionen, die vom Security Agent unterstützt werden GuardDuty

Die folgende Tabelle zeigt die Kubernetes-Versionen für Ihre EKS-Cluster, die vom Security Agent unterstützt werden. GuardDuty

Version des Amazon GuardDuty EKS-Zusatz-Sicherheitsagenten Kubernetes-Version

v1.9.0 (aktuell — v1.9.0-eksbuild.2)

v1.8.1 (aktuell - v1.8.1-eksbuild.2)

1.21 - 1.32

Version 1.7,0

v1.6.1

1,21 - 1,31

v1.7.1

v1.7,0

v1.6.1

1,21 - 1,31

v1.6.0

Version 1.5.0

v1.4.1

v1.4.0

v1.3.1

1,21 - 1,29

v1.3.0

v1.2.0

1,21 - 1,28

v1.1.0

1,21 - 1,26

v1.0.0

1,21 - 1,25

Für einige Versionen des GuardDuty Security Agents wird der Standardsupport auslaufen. Informationen zu den Release-Versionen der Agenten finden Sie unterGuardDuty Sicherheitsagent für Amazon EKS-Cluster.

CPU- und Arbeitsspeicherlimits

Die folgende Tabelle zeigt die CPU- und Speicherlimits für das Amazon EKS-Add-on für GuardDuty (aws-guardduty-agent).

Parameter Minimale Grenze Maximale Grenze

CPU

200m

1000m

Arbeitsspeicher

256 Mi

1024Mi

Wenn Sie Amazon EKS Add-on Version 1.5.0 oder höher verwenden, GuardDuty bietet es die Möglichkeit, das Add-On-Schema für Ihre CPU- und Speicherwerte zu konfigurieren. Informationen zum konfigurierbaren Bereich finden Sie unterKonfigurierbare Parameter und Werte.

Nachdem Sie die EKS-Laufzeit-Überwachung aktiviert und den Abdeckungsstatus Ihrer EKS-Cluster bewertet haben, können Sie die Container-Erkenntnis-Metriken einrichten und anzeigen. Weitere Informationen finden Sie unter Einrichten der CPU- und Arbeitsspeicherüberwachung.

Überprüfen Sie die Service Control-Richtlinie Ihrer Organisation

Wenn Sie eine Service Control Policy (SCP) zur Verwaltung von Berechtigungen in Ihrer Organisation eingerichtet haben, stellen Sie sicher, dass die Rechtegrenzen nicht einschränkend sind. guardduty:SendSecurityTelemetry Sie ist erforderlich, GuardDuty um Runtime Monitoring für verschiedene Ressourcentypen zu unterstützen.

Wenn Sie ein Mitgliedskonto sind, stellen Sie eine Verbindung mit dem zugehörigen delegierten Administrator her. Informationen zur Verwaltung SCPs für Ihre Organisation finden Sie unter Richtlinien zur Servicesteuerung (SCPs).