Ayude a mejorar esta página
Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.
Análisis de vulnerabilidades en Amazon EKS
La seguridad es una consideración fundamental para configurar y mantener clústeres y aplicaciones de Kubernetes. A continuación, se enumeran los recursos disponibles para que pueda analizar la configuración de seguridad de sus clústeres de EKS y comprobar si hay vulnerabilidades, y las integraciones con servicios de AWS que pueden realizar ese análisis por usted.
Referencia del Center for Internet Security (CIS, Centro para la seguridad de Internet) para Amazon EKS
El Punto de referencia de Kubernetes del Centro para la seguridad de Internet (CIS)
-
Es aplicable a los nodos de Amazon EC2 (administrados y autoadministrados) donde es responsable de las configuraciones de seguridad de los componentes de Kubernetes.
-
Proporciona una forma estándar y aprobada por la comunidad de garantizar que ha configurado de forma segura el clúster y los nodos de Kubernetes al utilizar Amazon EKS.
-
Consta de cuatro secciones: configuración de registro del plano de control, configuraciones de seguridad de nodos, políticas y servicios administrados.
-
Admite todas las versiones de Kubernetes actualmente disponibles en Amazon EKS y se puede ejecutar con kube-bench
, una herramienta estándar de código abierto para verificar la configuración mediante el punto de referencia del CIS en clústeres de Kubernetes.
Para obtener más información, consulte Presentación del punto de referencia de Amazon EKS del CIS
Para que una canalización de aws-sample automatizada actualice el grupo de nodos con una AMI de referencia de CIS, consulte EKS-Optimized AMI Hardening Pipeline
Versiones de la plataforma de Amazon EKS
Las versiones de la plataforma de Amazon EKS representan las capacidades del plano de control del clúster, lo que incluye las marcas de servidor de la API de Kubernetes que se encuentran habilitadas y la versión de parche de Kubernetes actual. Los nuevos clústeres están implementados con la versión más reciente de la plataforma. Para obtener más información, consulte Visualización de las versiones de la plataforma Amazon EKS para cada versión de Kubernetes.
Puede actualizar un clúster de Amazon EKS con las versiones más recientes de Kubernetes. Cuando haya nuevas versiones de Kubernetes disponibles en Amazon EKS, le recomendamos que actualice proactivamente los clústeres para que utilicen la versión más reciente disponible. Para obtener más información sobre las versiones de Kubernetes en EKS, consulte Descripción del ciclo de vida de las versiones de Kubernetes en EKS.
Lista de vulnerabilidades del sistema operativo
Lista de vulnerabilidades de AL2023
Realice un seguimiento de los eventos de seguridad o privacidad de Amazon Linux 2023 en el Centro de seguridad de Amazon Linux
Lista de vulnerabilidades Amazon Linux 2
Realice un seguimiento de los eventos de seguridad o privacidad de Amazon Linux 2 en el Centro de seguridad de Amazon Linux
Detección de nodos con Amazon Inspector
Puede utilizar Amazon Inspector para verificar la accesibilidad de la red no deseada de sus nodos y a fin de buscar vulnerabilidades en dichas instancias de Amazon EC2.
Detección de clústeres y nodos con Amazon GuardDuty
Amazon GuardDuty es un servicio de detección de amenazas que ayuda a proteger las cuentas, los contenedores, las cargas de trabajo y los datos de su entorno de AWS. Entre otras características, GuardDuty ofrece las siguientes dos características que detectan posibles amenazas para sus clústeres de EKS: Protección de EKS y Supervisión en tiempo de ejecución.
Para obtener más información, consulte Detección de amenazas con Amazon GuardDuty.
