Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Corregir las exposiciones de los clústeres de Amazon EKS
AWS Security Hub puede generar resultados de exposición para los clústeres de Amazon Elastic Kubernetes Service (Amazon EKS).
El clúster Amazon EKS implicado en un hallazgo de exposición y su información de identificación figuran en la sección Recursos de los detalles del hallazgo. Puede recuperar estos detalles de los recursos en la consola de Security Hub o mediante programación mediante el GetFindingsV2funcionamiento de la API de Security Hub.
Tras identificar el recurso implicado en la detección de una exposición, puede eliminarlo si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus AWS costes. Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de característica.
Un único hallazgo de exposición contiene los problemas identificados en varios temas de remediación. Por el contrario, puede abordar un hallazgo de exposición y reducir su nivel de gravedad abordando solo un tema de remediación. Su enfoque de la remediación de riesgos depende de los requisitos y las cargas de trabajo de su organización.
nota
La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros recursos. AWS
Contenido
Características de mala configuración de los clústeres de Amazon EKS
A continuación, se muestran las características de configuración errónea de los clústeres de Amazon EKS y se sugieren los pasos de corrección.
El clúster Amazon EKS permite el acceso público
El punto de enlace del clúster Amazon EKS es el punto de enlace que se utiliza para comunicarse con el servidor de API de Kubernetes del clúster. De forma predeterminada, este punto final es público en Internet. Los puntos finales públicos aumentan la superficie de ataque y el riesgo de acceso no autorizado al servidor API de Kubernetes, lo que podría permitir a los atacantes acceder a los recursos del clúster o modificarlos o acceder a datos confidenciales. Siguiendo las mejores prácticas de seguridad, AWS recomienda restringir el acceso al punto final del clúster de EKS únicamente a los rangos de IP necesarios.
Modifique el acceso al punto final
En la búsqueda de exposición, abra el recurso. Esto abrirá el clúster Amazon EKS afectado. Puede configurar el clúster para que utilice el acceso privado, el acceso público o ambos. Con el acceso privado, las solicitudes de API de Kubernetes que se originan en la VPC de tu clúster utilizan el punto de enlace de la VPC privada. Con el acceso público, las solicitudes de API de Kubernetes que se originan fuera de la VPC del clúster utilizan el punto de enlace público.
Modifica o elimina el acceso público al clúster
Para modificar el acceso al punto de enlace de un clúster existente, consulte Modificación del acceso al punto de enlace del clúster en la Guía del usuario de Amazon Elastic Kubernetes Service. Implemente reglas más restrictivas basadas en rangos de IP o grupos de seguridad específicos. Si es necesario un acceso público limitado, restrinja el acceso a rangos de bloques del CIDR específicos o utilice listas de prefijos.
El clúster de Amazon EKS utiliza una versión de Kubernetes no compatible
Amazon EKS admite todas las versiones de Kubernetes durante un período de tiempo limitado. La ejecución de clústeres con versiones de Kubernetes no compatibles puede exponer su entorno a vulnerabilidades de seguridad, ya que los parches de CVE dejarán de publicarse para las versiones desactualizadas. Las versiones no compatibles pueden contener vulnerabilidades de seguridad conocidas que pueden ser aprovechadas por los atacantes y carecer de las funciones de seguridad que pueden estar disponibles en las versiones más recientes. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda mantener actualizada la versión de Kubernetes.
Actualización de una versión de Kubernetes
En la búsqueda de exposición, abra el recurso. Esto abrirá el clúster Amazon EKS afectado. Antes de actualizar el clúster, consulte las versiones disponibles con soporte estándar en la Guía del usuario de Amazon Elastic Kubernetes Service para ver una lista de las versiones de Kubernetes compatibles actualmente.
El clúster de Amazon EKS utiliza secretos de Kubernetes no cifrados
Los secretos de Kubernetes se almacenan, de forma predeterminada, sin cifrar en el almacén de datos subyacente del servidor API (etcd). Cualquier persona con acceso a la API o a etcd puede recuperar o modificar un secreto. Para evitarlo, debes cifrar los secretos de Kubernetes en reposo. Si los secretos de Kubernetes no están cifrados, son vulnerables al acceso no autorizado si etcd se ve comprometido. Dado que los secretos suelen contener información confidencial, como contraseñas y tokens de API, su exposición podría provocar el acceso no autorizado a otras aplicaciones y datos. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda cifrar toda la información confidencial almacenada en los secretos de Kubernetes.
Cifra los secretos de Kubernetes
Amazon EKS admite el cifrado de los secretos de Kubernetes mediante claves de KMS mediante el cifrado de sobres. Para habilitar el cifrado de los secretos de Kubernetes para su clúster de EKS, consulte Cifrar los secretos de Kubernetes con KMS en los clústeres existentes en la Guía del usuario de Amazon EKS.
Características de vulnerabilidad de los clústeres de Amazon KES
Estas son las características de vulnerabilidad de los clústeres de Amazon EKS.
El clúster Amazon EKS tiene un contenedor con vulnerabilidades de software explotables en red con una alta probabilidad de explotación
Los paquetes de software que están instalados en los clústeres de EKS pueden estar expuestos a vulnerabilidades y exposiciones comunes (). CVEs Las críticas CVEs representan riesgos de seguridad importantes para su AWS entorno. Los usuarios no autorizados pueden aprovechar estas vulnerabilidades no corregidas para comprometer la confidencialidad, la integridad o la disponibilidad de los datos, o para acceder a otros sistemas. Las vulnerabilidades críticas con una alta probabilidad de explotación representan amenazas inmediatas para la seguridad, ya que es posible que los atacantes o las herramientas de escaneo automatizadas ya estén disponibles públicamente y que los atacantes o las herramientas de escaneo automatizadas lo utilicen activamente. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda parchear estas vulnerabilidades para proteger la instancia de los ataques.
Actualiza las instancias afectadas
Actualice las imágenes de sus contenedores a versiones más recientes que incluyan correcciones de seguridad para las vulnerabilidades identificadas. Por lo general, esto implica reconstruir las imágenes del contenedor con imágenes base o dependencias actualizadas y, a continuación, implementar las nuevas imágenes en el clúster de Amazon EKS.
El clúster Amazon EKS tiene un contenedor con vulnerabilidades de software
Los paquetes de software que se instalan en los clústeres de Amazon EKS pueden estar expuestos a vulnerabilidades y exposiciones comunes (CVEs). Los no críticos CVEs representan debilidades de seguridad con menor gravedad o capacidad de explotación en comparación con los críticos. CVEs Si bien estas vulnerabilidades representan un riesgo menos inmediato, los atacantes aún pueden aprovechar estas vulnerabilidades sin parches para comprometer la confidencialidad, la integridad o la disponibilidad de los datos, o para acceder a otros sistemas. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda parchear estas vulnerabilidades para proteger la instancia de los ataques.
Actualiza las instancias afectadas
Actualice las imágenes de sus contenedores a versiones más recientes que incluyan correcciones de seguridad para las vulnerabilidades identificadas. Por lo general, esto implica reconstruir las imágenes del contenedor con imágenes base o dependencias actualizadas y, a continuación, implementar las nuevas imágenes en el clúster de Amazon EKS.
