Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Corriger les risques liés aux clusters Amazon EKS
AWS Security Hub peut générer des résultats d'exposition pour les clusters Amazon Elastic Kubernetes Service (Amazon EKS).
Le cluster Amazon EKS impliqué dans une découverte d'exposition et ses informations d'identification sont répertoriés dans la section Ressources des détails de la recherche. Vous pouvez récupérer les détails de ces ressources sur la console Security Hub ou par programmation à l'aide GetFindingsV2de l'API Security Hub.
Après avoir identifié la ressource impliquée dans un constat d'exposition, vous pouvez supprimer la ressource si vous n'en avez pas besoin. La suppression d'une ressource non essentielle peut réduire votre profil d'exposition et vos AWS coûts. Si la ressource est essentielle, suivez ces étapes de correction recommandées pour atténuer le risque. Les sujets de remédiation sont divisés en fonction du type de trait.
Un seul résultat d'exposition contient des problèmes identifiés dans plusieurs rubriques de remédiation. À l'inverse, vous pouvez corriger un résultat d'exposition et en réduire le niveau de gravité en abordant un seul sujet de remédiation. Votre approche en matière de correction des risques dépend des exigences et des charges de travail de votre organisation.
Note
Les conseils de remédiation fournis dans cette rubrique peuvent nécessiter des consultations supplémentaires dans d'autres AWS ressources.
Table des matières
Caractéristiques de mauvaise configuration pour les clusters Amazon EKS
Voici les caractéristiques de mauvaise configuration des clusters Amazon EKS et les étapes de correction suggérées.
Le cluster Amazon EKS autorise l'accès public
Le point de terminaison du cluster Amazon EKS est le point de terminaison que vous utilisez pour communiquer avec le serveur d'API Kubernetes de votre cluster. Par défaut, ce point de terminaison est public sur Internet. Les points de terminaison publics augmentent votre surface d'attaque et le risque d'accès non autorisé à votre serveur d'API Kubernetes, permettant ainsi à des attaquants d'accéder aux ressources du cluster ou de les modifier ou d'accéder à des données sensibles. Conformément aux meilleures pratiques de sécurité, AWS recommande de restreindre l'accès à votre point de terminaison du cluster EKS aux seules plages d'adresses IP nécessaires.
Modifier l'accès aux terminaux
Dans le résultat de l'exposition, ouvrez la ressource. Cela ouvrira le cluster Amazon EKS concerné. Vous pouvez configurer votre cluster pour utiliser un accès privé, un accès public ou les deux. Avec un accès privé, les demandes d'API Kubernetes provenant du VPC de votre cluster utilisent le point de terminaison VPC privé. Avec un accès public, les demandes d'API Kubernetes provenant de l'extérieur du VPC de votre cluster utilisent le point de terminaison public.
Modifier ou supprimer l'accès public au cluster
Pour modifier l'accès aux points de terminaison d'un cluster existant, consultez la section Modification de l'accès aux points de terminaison du cluster dans le guide de l'utilisateur d'Amazon Elastic Kubernetes Service. Implémentez des règles plus restrictives basées sur des plages d'adresses IP ou des groupes de sécurité spécifiques. Si un accès public limité est nécessaire, limitez l'accès à des plages de blocs CIDR spécifiques ou utilisez des listes de préfixes.
Le cluster Amazon EKS utilise une version de Kubernetes non prise en charge
Amazon EKS prend en charge chaque version de Kubernetes pendant une période limitée. L'exécution de clusters avec des versions de Kubernetes non prises en charge peut exposer votre environnement à des failles de sécurité, car les correctifs CVE cesseront d'être publiés pour les versions obsolètes. Les versions non prises en charge peuvent contenir des failles de sécurité connues qui peuvent être exploitées par des attaquants et ne pas disposer des fonctionnalités de sécurité susceptibles d'être disponibles dans les versions plus récentes. Conformément aux meilleures pratiques de sécurité, AWS recommande de maintenir votre version de Kubernetes à jour.
Mettre à jour la version de Kubernetes
Dans le résultat de l'exposition, ouvrez la ressource. Cela ouvrira le cluster Amazon EKS concerné. Avant de mettre à jour votre cluster, consultez les versions disponibles sur le support standard dans le guide de l'utilisateur d'Amazon Elastic Kubernetes Service pour obtenir la liste des versions de Kubernetes actuellement prises en charge.
Le cluster Amazon EKS utilise des secrets Kubernetes non chiffrés
Les secrets Kubernetes sont, par défaut, stockés non chiffrés dans le magasin de données sous-jacent (etcd) du serveur d'API. Toute personne ayant accès à l'API ou ayant accès à etcd peut récupérer ou modifier un secret. Pour éviter cela, vous devez chiffrer les secrets Kubernetes au repos. Si les secrets Kubernetes ne sont pas chiffrés, ils sont vulnérables à un accès non autorisé si etcd est compromis. Étant donné que les secrets contiennent souvent des informations sensibles telles que des mots de passe et des jetons d'API, leur divulgation peut entraîner un accès non autorisé à d'autres applications et données. Conformément aux meilleures pratiques de sécurité, AWS recommande de chiffrer toutes les informations sensibles stockées dans les secrets Kubernetes.
Chiffrez les secrets de Kubernetes
Amazon EKS prend en charge le chiffrement des secrets Kubernetes à l'aide de clés KMS via le chiffrement d'enveloppe. Pour activer le chiffrement des secrets Kubernetes pour votre cluster EKS, consultez la section Chiffrer les secrets Kubernetes avec KMS sur des clusters existants dans le guide de l'utilisateur Amazon EKS.
Caractéristiques de vulnérabilité des clusters Amazon EKS
Voici les caractéristiques de vulnérabilité des clusters Amazon EKS.
Le cluster Amazon EKS possède un conteneur contenant des vulnérabilités logicielles exploitables par le réseau présentant une forte probabilité d'exploitation
Les progiciels installés sur les clusters EKS peuvent être exposés à des vulnérabilités et à des risques courants (CVEs). CVEs Les éléments critiques présentent des risques de sécurité importants pour votre AWS environnement. Les utilisateurs non autorisés peuvent exploiter ces vulnérabilités non corrigées pour compromettre la confidentialité, l'intégrité ou la disponibilité des données, ou pour accéder à d'autres systèmes. Les vulnérabilités critiques présentant une forte probabilité d'exploitation constituent des menaces de sécurité immédiates, car le code d'exploitation peut déjà être accessible au public et utilisé activement par des attaquants ou des outils d'analyse automatisés. Conformément aux meilleures pratiques de sécurité, il est AWS recommandé de corriger ces vulnérabilités afin de protéger votre instance contre les attaques.
Mettre à jour les instances concernées
Mettez à jour les images de vos conteneurs vers des versions plus récentes qui incluent des correctifs de sécurité pour les vulnérabilités identifiées. Cela implique généralement de reconstruire vos images de conteneur avec des images de base ou des dépendances mises à jour, puis de déployer les nouvelles images sur votre cluster Amazon EKS.
Le cluster Amazon EKS possède un conteneur présentant des vulnérabilités logicielles
Les packages logiciels installés sur les clusters Amazon EKS peuvent être exposés à des vulnérabilités et à des risques courants (CVEs). Les failles non critiques CVEs représentent des faiblesses de sécurité moins graves ou moins exploitables que les failles critiques. CVEs Bien que ces vulnérabilités présentent un risque immédiat moindre, les attaquants peuvent toujours exploiter ces vulnérabilités non corrigées pour compromettre la confidentialité, l'intégrité ou la disponibilité des données, ou pour accéder à d'autres systèmes. Conformément aux meilleures pratiques de sécurité, il est AWS recommandé de corriger ces vulnérabilités afin de protéger votre instance contre les attaques.
Mettre à jour les instances concernées
Mettez à jour les images de vos conteneurs vers des versions plus récentes qui incluent des correctifs de sécurité pour les vulnérabilités identifiées. Cela implique généralement de reconstruire vos images de conteneur avec des images de base ou des dépendances mises à jour, puis de déployer les nouvelles images sur votre cluster Amazon EKS.
