Contrôles Amazon Elastic Kubernetes Service - AWS Security Hub
[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés[EKS.6] Les clusters EKS doivent être étiquetés[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées[EKS.8] La journalisation des audits doit être activée sur les clusters EKS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Amazon Elastic Kubernetes Service

Ces contrôles sont liés aux ressources Amazon EKS.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public

Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public

Gravité : Élevée

Type de ressource : AWS::EKS::Cluster

Règle AWS Config  : eks-endpoint-no-public-access

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un point de terminaison d'un cluster Amazon EKS est accessible au public. Le contrôle échoue si un cluster EKS possède un point de terminaison accessible au public.

Lorsque vous créez un nouveau cluster, Amazon EKS crée un point de terminaison pour le serveur d'API Kubernetes géré que vous utilisez pour communiquer avec votre cluster. Par défaut, ce point de terminaison du serveur d'API est accessible au public sur Internet. L'accès au serveur d'API est sécurisé à l'aide d'une combinaison de AWS Identity and Access Management (IAM) et de contrôle d'accès basé sur les rôles (RBAC) Kubernetes natif. En supprimant l'accès public au point de terminaison, vous pouvez éviter une exposition involontaire et un accès à votre cluster.

Correction

Pour modifier l'accès aux points de terminaison pour un cluster EKS existant, consultez la section Modification de l'accès aux points de terminaison du cluster dans le guide de l'utilisateur Amazon EKS. Vous pouvez configurer l'accès aux terminaux pour un nouveau cluster EKS lors de sa création. Pour obtenir des instructions sur la création d'un nouveau cluster Amazon EKS, consultez la section Création d'un cluster Amazon EKS dans le guide de l'utilisateur Amazon EKS.

[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge

Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)

Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions

Gravité : Élevée

Type de ressource : AWS::EKS::Cluster

Règle AWS Config  : eks-cluster-supported-version

Type de calendrier : changement déclenché

Paramètres :

  • oldestVersionSupported: 1.26 (non personnalisable)

Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. Le contrôle échoue si le cluster EKS est exécuté sur une version non prise en charge.

Si votre application ne nécessite pas de version spécifique de Kubernetes, nous vous recommandons d'utiliser la dernière version disponible de Kubernetes prise en charge par EKS pour vos clusters. Pour plus d'informations, consultez le calendrier de publication d'Amazon EKS Kubernetes, le support des versions d'Amazon EKS et la FAQ dans le guide de l'utilisateur d'Amazon EKS.

Correction

Pour mettre à jour un cluster EKS, procédez à la mise à jour d'une version Kubernetes d'un cluster Amazon EKS dans le guide de l'utilisateur Amazon EKS.

[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés

Exigences connexes : NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-12, NIST.800-53.R5 SC-13, NIST.800-53.R5 SI-28

Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest

Gravité : Moyenne

Type de ressource : AWS::EKS::Cluster

Règle AWS Config  : eks-secrets-encrypted

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un cluster Amazon EKS utilise des secrets Kubernetes chiffrés. Le contrôle échoue si les secrets Kubernetes du cluster ne sont pas chiffrés.

Lorsque vous chiffrez des secrets, vous pouvez utiliser les clés AWS Key Management Service (AWS KMS) pour chiffrer l'enveloppe des secrets Kubernetes stockés dans etcd pour votre cluster. Ce chiffrement s'ajoute au chiffrement des volumes EBS activé par défaut pour toutes les données (y compris les secrets) stockées dans etcd dans le cadre d'un cluster EKS. L'utilisation du chiffrement des secrets pour votre cluster EKS vous permet de déployer une stratégie de défense approfondie pour les applications Kubernetes en chiffrant les secrets Kubernetes à l'aide d'une clé KMS que vous définissez et gérez.

Correction

Pour activer le chiffrement secret sur un cluster EKS, consultez la section Activation du chiffrement secret sur un cluster existant dans le guide de l'utilisateur Amazon EKS.

[EKS.6] Les clusters EKS doivent être étiquetés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::EKS::Cluster

AWS Config règle : tagged-eks-cluster (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub
requiredTagKeys Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. StringList Liste des tags répondant aux AWS exigences Aucune valeur par défaut

Ce contrôle vérifie si un cluster Amazon EKS possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le cluster ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le cluster n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Note

N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS

Correction

Pour ajouter des balises à un cluster EKS, consultez la section Marquage de vos ressources Amazon EKS dans le guide de l'utilisateur Amazon EKS.

[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::EKS::IdentityProviderConfig

AWS Config règle : tagged-eks-identityproviderconfig (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub
requiredTagKeys Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. StringList Liste des tags répondant aux AWS exigences Aucune valeur par défaut

Ce contrôle vérifie si une configuration de fournisseur d'identité Amazon EKS comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la configuration ne comporte aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la configuration n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Note

N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS

Correction

Pour ajouter des balises aux configurations d'un fournisseur d'identité EKS, consultez la section Marquage de vos ressources Amazon EKS dans le guide de l'utilisateur Amazon EKS.

[EKS.8] La journalisation des audits doit être activée sur les clusters EKS

Exigences connexes : NIST.800-53.R5 AC-2 (12), NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 AU-9 (7), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-4, NIST.800-53.R5 (20), NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::EKS::Cluster

Règle AWS Config  : eks-cluster-logging-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la journalisation des audits est activée sur un cluster Amazon EKS. Le contrôle échoue si la journalisation des audits n'est pas activée pour le cluster.

La journalisation du plan de contrôle EKS fournit des journaux d'audit et de diagnostic directement depuis le plan de contrôle EKS vers Amazon CloudWatch Logs dans votre compte. Vous pouvez sélectionner les types de journaux dont vous avez besoin, et les journaux sont envoyés sous forme de flux de journaux à un groupe pour chaque cluster EKS inclus CloudWatch. La journalisation fournit une visibilité sur l'accès et les performances des clusters EKS. En envoyant les journaux du plan de contrôle EKS pour vos clusters EKS à CloudWatch Logs, vous pouvez enregistrer les opérations à des fins d'audit et de diagnostic dans un emplacement central.

Correction

Pour activer les journaux d'audit pour votre cluster EKS, consultez la section Activation et désactivation des journaux du plan de contrôle dans le guide de l'utilisateur Amazon EKS.