Memulihkan eksposur untuk kluster Amazon EKS

AWS Security Hub dapat menghasilkan temuan eksposur untuk cluster Amazon Elastic Kubernetes Service (Amazon EKS).

Cluster Amazon EKS yang terlibat dalam temuan eksposur dan informasi pengidentifikasinya tercantum di bagian Sumber Daya dari detail temuan. Anda dapat mengambil detail sumber daya ini di konsol Security Hub atau secara terprogram dengan GetFindingsV2pengoperasian Security Hub API.

Setelah mengidentifikasi sumber daya yang terlibat dalam temuan eksposur, Anda dapat menghapus sumber daya jika Anda tidak membutuhkannya. Menghapus sumber daya yang tidak penting dapat mengurangi profil dan AWS biaya eksposur Anda. Jika sumber daya sangat penting, ikuti langkah-langkah remediasi yang direkomendasikan ini untuk membantu mengurangi risiko. Topik remediasi dibagi berdasarkan jenis sifatnya.

Temuan eksposur tunggal berisi masalah yang diidentifikasi dalam beberapa topik remediasi. Sebaliknya, Anda dapat mengatasi temuan eksposur dan menurunkan tingkat keparahannya dengan hanya membahas satu topik remediasi. Pendekatan Anda terhadap remediasi risiko tergantung pada kebutuhan organisasi dan beban kerja Anda.

catatan

Panduan remediasi yang diberikan dalam topik ini mungkin memerlukan konsultasi tambahan dalam AWS sumber daya lain.

Daftar Isi

• Ciri salah konfigurasi untuk kluster Amazon EKS

  • Cluster Amazon EKS memungkinkan akses publik

  • Cluster Amazon EKS menggunakan versi Kubernetes yang tidak didukung

  • Cluster Amazon EKS menggunakan rahasia Kubernetes yang tidak terenkripsi

• Ciri-ciri kerentanan untuk kluster Amazon EKS

  • Cluster Amazon EKS memiliki wadah dengan kerentanan perangkat lunak yang dapat dieksploitasi jaringan dengan kemungkinan eksploitasi yang tinggi

  • Cluster Amazon EKS memiliki wadah dengan kerentanan perangkat lunak

Ciri salah konfigurasi untuk kluster Amazon EKS

Berikut adalah ciri kesalahan konfigurasi untuk kluster Amazon EKS dan langkah-langkah perbaikan yang disarankan.

Cluster Amazon EKS memungkinkan akses publik

Endpoint klaster Amazon EKS adalah endpoint yang Anda gunakan untuk berkomunikasi dengan server API Kubernetes klaster Anda. Secara default, titik akhir ini bersifat publik ke internet. Titik akhir publik meningkatkan area permukaan serangan Anda dan risiko akses tidak sah ke server API Kubernetes Anda, yang berpotensi memungkinkan penyerang mengakses atau memodifikasi sumber daya klaster atau mengakses data sensitif. Mengikuti praktik terbaik keamanan, AWS merekomendasikan untuk membatasi akses ke titik akhir kluster EKS Anda hanya ke rentang IP yang diperlukan.

Ubah akses titik akhir

Dalam temuan eksposur, buka sumber daya. Ini akan membuka cluster Amazon EKS yang terpengaruh. Anda dapat mengonfigurasi klaster Anda untuk menggunakan akses pribadi, akses publik, atau keduanya. Dengan akses pribadi, permintaan Kubernetes API yang berasal dari VPC klaster Anda menggunakan titik akhir VPC pribadi. Dengan akses publik, permintaan Kubernetes API yang berasal dari luar VPC klaster Anda menggunakan titik akhir publik.

Memodifikasi atau menghapus akses publik ke cluster

Untuk mengubah akses endpoint untuk klaster yang ada, lihat Memodifikasi akses endpoint cluster di Panduan Pengguna Amazon Elastic Kubernetes Service. Menerapkan aturan yang lebih ketat berdasarkan rentang IP tertentu atau grup keamanan. Jika akses publik terbatas diperlukan, batasi akses ke rentang blok CIDR tertentu atau gunakan daftar awalan.

Cluster Amazon EKS menggunakan versi Kubernetes yang tidak didukung

Amazon EKS mendukung setiap versi Kubernetes untuk jangka waktu terbatas. Menjalankan cluster dengan versi Kubernetes yang tidak didukung dapat mengekspos lingkungan Anda ke kerentanan keamanan, karena patch CVE akan berhenti dirilis untuk versi yang sudah ketinggalan zaman. Versi yang tidak didukung mungkin mengandung kerentanan keamanan yang diketahui yang dapat dieksploitasi oleh penyerang dan tidak memiliki fitur keamanan yang mungkin tersedia dalam versi yang lebih baru. Mengikuti praktik terbaik keamanan, AWS rekomendasikan agar versi Kubernetes Anda diperbarui.

Perbarui versi Kubernetes

Dalam temuan eksposur, buka sumber daya. Ini akan membuka cluster Amazon EKS yang terpengaruh. Sebelum memperbarui klaster Anda, tinjau versi yang tersedia pada dukungan standar di Panduan Pengguna Amazon Elastic Kubernetes Service untuk daftar versi Kubernetes yang saat ini didukung.

Cluster Amazon EKS menggunakan rahasia Kubernetes yang tidak terenkripsi

Rahasia Kubernetes, secara default, disimpan tanpa terenkripsi di penyimpanan data dasar server API (etcd). Siapa pun yang memiliki akses API atau dengan akses ke etcd dapat mengambil atau memodifikasi rahasia. Untuk mencegah hal ini, Anda harus mengenkripsi rahasia Kubernetes saat istirahat. Jika Rahasia Kubernetes tidak dienkripsi, mereka rentan terhadap akses yang tidak sah jika etcd dikompromikan. Karena rahasia sering berisi informasi sensitif seperti kata sandi dan token API, eksposur mereka dapat menyebabkan akses tidak sah ke aplikasi dan data lain. Mengikuti praktik terbaik keamanan, AWS merekomendasikan untuk mengenkripsi semua informasi sensitif yang disimpan dalam rahasia Kubernetes.

Enkripsi rahasia Kubernetes

Amazon EKS mendukung enkripsi rahasia Kubernetes menggunakan kunci KMS melalui enkripsi amplop. Untuk mengaktifkan enkripsi rahasia Kubernetes untuk kluster EKS Anda, lihat Enkripsi rahasia Kubernetes dengan KMS pada klaster yang ada di Panduan Pengguna Amazon EKS.

Ciri-ciri kerentanan untuk kluster Amazon EKS

Berikut adalah ciri-ciri kerentanan untuk cluster Amazon EKS.

Cluster Amazon EKS memiliki wadah dengan kerentanan perangkat lunak yang dapat dieksploitasi jaringan dengan kemungkinan eksploitasi yang tinggi

Paket perangkat lunak yang diinstal pada kluster EKS dapat terkena Common Vulnerabilities and Exposures (). CVEs Kritis CVEs menimbulkan risiko keamanan yang signifikan terhadap AWS lingkungan Anda. Pengguna yang tidak sah dapat mengeksploitasi kerentanan yang belum ditambal ini untuk membahayakan kerahasiaan, integritas, atau ketersediaan data, atau untuk mengakses sistem lain. Kerentanan kritis dengan kemungkinan eksploitasi tinggi mewakili ancaman keamanan langsung, karena kode eksploitasi mungkin sudah tersedia untuk umum dan digunakan secara aktif oleh penyerang atau alat pemindaian otomatis. Mengikuti praktik terbaik keamanan, AWS rekomendasikan untuk menambal kerentanan ini untuk melindungi instance Anda dari serangan.

Perbarui instance yang terpengaruh

Perbarui gambar kontainer Anda ke versi yang lebih baru yang menyertakan perbaikan keamanan untuk kerentanan yang diidentifikasi. Ini biasanya melibatkan membangun kembali gambar kontainer Anda dengan gambar dasar atau dependensi yang diperbarui, lalu menerapkan gambar baru ke cluster Amazon EKS Anda.

Cluster Amazon EKS memiliki wadah dengan kerentanan perangkat lunak

Paket perangkat lunak yang diinstal pada kluster Amazon EKS dapat terkena Kerentanan Umum dan Eksposur (). CVEs Nonkritis CVEs mewakili kelemahan keamanan dengan tingkat keparahan atau eksploitasi yang lebih rendah dibandingkan dengan kritis. CVEs Sementara kerentanan ini menimbulkan risiko yang kurang langsung, penyerang masih dapat mengeksploitasi kerentanan yang belum ditambal ini untuk membahayakan kerahasiaan, integritas, atau ketersediaan data, atau untuk mengakses sistem lain. Mengikuti praktik terbaik keamanan, AWS rekomendasikan untuk menambal kerentanan ini untuk melindungi instance Anda dari serangan.

Perbarui instance yang terpengaruh

Perbarui gambar kontainer Anda ke versi yang lebih baru yang menyertakan perbaikan keamanan untuk kerentanan yang diidentifikasi. Ini biasanya melibatkan membangun kembali gambar kontainer Anda dengan gambar dasar atau dependensi yang diperbarui, lalu menerapkan gambar baru ke cluster Amazon EKS Anda.