Behebung von Risiken für Amazon EKS-Cluster

AWS Security Hub kann Risikopergebnisse für Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster generieren.

Der Amazon EKS-Cluster, der an einer Risikofeststellung beteiligt war, und seine identifizierenden Informationen sind im Abschnitt Ressourcen der Ergebnisdetails aufgeführt. Sie können diese Ressourcendetails auf der Security Hub Hub-Konsole oder programmgesteuert mithilfe der GetFindingsV2Security Hub Hub-API abrufen.

Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, wenn Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.

Ein einziger Risikobefund umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.

Anmerkung

Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS

Inhalt

• Fehlkonfigurationsmerkmale für Amazon EKS-Cluster

  • Der Amazon EKS-Cluster ermöglicht öffentlichen Zugriff

  • Der Amazon EKS-Cluster verwendet eine nicht unterstützte Kubernetes-Version

  • Der Amazon EKS-Cluster verwendet unverschlüsselte Kubernetes-Geheimnisse

• Sicherheitsanfälligkeitsmerkmale für Amazon EKS-Cluster

  • Der Amazon EKS-Cluster verfügt über einen Container mit Softwareschwachstellen, die im Netzwerk ausgenutzt werden können und deren Ausnutzung sehr wahrscheinlich ist

  • Der Amazon EKS-Cluster hat einen Container mit Softwareschwachstellen

Fehlkonfigurationsmerkmale für Amazon EKS-Cluster

Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für Amazon EKS-Cluster und empfohlene Schritte zur Behebung.

Der Amazon EKS-Cluster ermöglicht öffentlichen Zugriff

Der Amazon EKS-Cluster-Endpunkt ist der Endpunkt, den Sie für die Kommunikation mit dem Kubernetes-API-Server Ihres Clusters verwenden. Standardmäßig ist dieser Endpunkt im Internet öffentlich zugänglich. Öffentliche Endpunkte erhöhen Ihre Angriffsfläche und erhöhen das Risiko eines unbefugten Zugriffs auf Ihren Kubernetes-API-Server, sodass Angreifer möglicherweise auf Cluster-Ressourcen zugreifen oder diese ändern oder auf sensible Daten zugreifen können. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es sich, den Zugriff auf Ihren EKS-Cluster-Endpunkt auf die erforderlichen IP-Bereiche zu beschränken.

Ändern Sie den Endpunktzugriff

Öffnen Sie im Expositionsnachweis die Ressource. Dadurch wird der betroffene Amazon EKS-Cluster geöffnet. Sie können Ihren Cluster so konfigurieren, dass er privaten Zugriff, öffentlichen Zugriff oder beides verwendet. Bei privatem Zugriff verwenden Kubernetes-API-Anfragen, die ihren Ursprung in der VPC Ihres Clusters haben, den privaten VPC-Endpunkt. Beim öffentlichen Zugriff verwenden Kubernetes-API-Anfragen, die von außerhalb der VPC Ihres Clusters stammen, den öffentlichen Endpunkt.

Ändern oder entfernen Sie den öffentlichen Zugriff auf den Cluster

Informationen zum Ändern des Endpunktzugriffs für einen vorhandenen Cluster finden Sie unter Ändern des Cluster-Endpunktzugriffs im Amazon Elastic Kubernetes Service Service-Benutzerhandbuch. Implementieren Sie restriktivere Regeln, die auf bestimmten IP-Bereichen oder Sicherheitsgruppen basieren. Wenn ein eingeschränkter öffentlicher Zugriff erforderlich ist, beschränken Sie den Zugriff auf bestimmte CIDR-Blockbereiche oder verwenden Sie Präfixlisten.

Der Amazon EKS-Cluster verwendet eine nicht unterstützte Kubernetes-Version

Amazon EKS unterstützt jede Kubernetes-Version für einen begrenzten Zeitraum. Das Ausführen von Clustern mit nicht unterstützten Kubernetes-Versionen kann Ihre Umgebung Sicherheitslücken aussetzen, da CVE-Patches nicht mehr für veraltete Versionen veröffentlicht werden. Nicht unterstützte Versionen können bekannte Sicherheitslücken enthalten, die von Angreifern ausgenutzt werden können, und es fehlen Sicherheitsfunktionen, die möglicherweise in neueren Versionen verfügbar sind. Es wird AWS empfohlen, Ihre Kubernetes-Version stets auf dem neuesten Stand zu halten.

Aktualisieren Sie die Kubernetes-Version

Öffnen Sie im Exposure Finding die Ressource. Dadurch wird der betroffene Amazon EKS-Cluster geöffnet. Bevor Sie Ihren Cluster aktualisieren, finden Sie unter Verfügbare Versionen mit Standardunterstützung im Amazon Elastic Kubernetes Service User Guide eine Liste der aktuell unterstützten Kubernetes-Versionen.

Der Amazon EKS-Cluster verwendet unverschlüsselte Kubernetes-Geheimnisse

Kubernetes-Geheimnisse werden standardmäßig unverschlüsselt im dem API-Server zugrunde liegenden Datenspeicher (etcd) gespeichert. Jeder mit API-Zugriff oder Zugriff auf etcd kann ein Geheimnis abrufen oder ändern. Um dies zu verhindern, sollten Sie Kubernetes-Geheimnisse im Ruhezustand verschlüsseln. Wenn Kubernetes Secrets unverschlüsselt sind, sind sie anfällig für unbefugten Zugriff, falls etcd kompromittiert wird. Da Secrets häufig sensible Informationen wie Passwörter und API-Token enthalten, kann ihre Offenlegung zu unberechtigtem Zugriff auf andere Anwendungen und Daten führen. Es wird AWS empfohlen, alle vertraulichen Informationen, die in Kubernetes-Geheimnissen gespeichert sind, zu verschlüsseln.

Verschlüsseln Sie Kubernetes-Geheimnisse

Amazon EKS unterstützt die Verschlüsselung von Kubernetes-Geheimnissen mithilfe von KMS-Schlüsseln durch Envelope-Verschlüsselung. Informationen zum Aktivieren der Verschlüsselung von Kubernetes-Geheimnissen für Ihren EKS-Cluster finden Sie unter Verschlüsseln von Kubernetes-Geheimnissen mit KMS auf vorhandenen Clustern im Amazon EKS-Benutzerhandbuch.

Sicherheitsanfälligkeitsmerkmale für Amazon EKS-Cluster

Hier sind die Schwachstellenmerkmale für Amazon EKS-Cluster.

Der Amazon EKS-Cluster verfügt über einen Container mit Softwareschwachstellen, die im Netzwerk ausgenutzt werden können und deren Ausnutzung sehr wahrscheinlich ist

Softwarepakete, die auf EKS-Clustern installiert sind, können häufig auftretenden Sicherheitslücken () ausgesetzt sein. CVEs Kritische CVEs Geräte stellen erhebliche Sicherheitsrisiken für Ihre AWS Umgebung dar. Unbefugte Benutzer können diese ungepatchten Sicherheitslücken ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Kritische Sicherheitslücken mit hoher Wahrscheinlichkeit stellen unmittelbare Sicherheitsbedrohungen dar, da Exploit-Code möglicherweise bereits öffentlich verfügbar ist und von Angreifern oder automatisierten Scan-Tools aktiv genutzt wird. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, diese Sicherheitslücken zu patchen, um Ihre Instance vor Angriffen zu schützen.

Aktualisieren Sie die betroffenen Instanzen

Aktualisieren Sie Ihre Container-Images auf neuere Versionen, die Sicherheitsupdates für die identifizierten Sicherheitslücken enthalten. Dies beinhaltet in der Regel die Neuerstellung Ihrer Container-Images mit aktualisierten Basis-Images oder Abhängigkeiten und die anschließende Bereitstellung der neuen Images in Ihrem Amazon EKS-Cluster.

Der Amazon EKS-Cluster hat einen Container mit Softwareschwachstellen

Softwarepakete, die auf Amazon EKS-Clustern installiert sind, können Common Vulnerabilities and Exposures (CVEs) ausgesetzt sein. Bei nicht kritischen Sicherheitslücken CVEs handelt es sich um Sicherheitslücken mit geringerem Schweregrad oder geringerer Ausnutzbarkeit als kritische. CVEs Diese Sicherheitslücken stellen zwar ein geringeres unmittelbares Risiko dar, aber Angreifer können diese ungepatchten Sicherheitslücken dennoch ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, diese Sicherheitslücken zu patchen, um Ihre Instance vor Angriffen zu schützen.

Aktualisieren Sie die betroffenen Instanzen

Aktualisieren Sie Ihre Container-Images auf neuere Versionen, die Sicherheitsupdates für die identifizierten Sicherheitslücken enthalten. Dies beinhaltet in der Regel die Neuerstellung Ihrer Container-Images mit aktualisierten Basis-Images oder Abhängigkeiten und die anschließende Bereitstellung der neuen Images in Ihrem Amazon EKS-Cluster.