Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Security Hub per Amazon EKS
Questi controlli Security Hub valutano il servizio e le risorse Amazon Elastic Kubernetes Service (EKSAmazon).
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, vedereDisponibilità dei controlli per regione.
[EKS.1] gli endpoint EKS del cluster non devono essere accessibili al pubblico
Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico
Gravità: alta
Tipo di risorsa: AWS::EKS::Cluster
AWS Config regola: eks-endpoint-no-public-access
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se un endpoint EKS del cluster Amazon è accessibile pubblicamente. Il controllo fallisce se un EKS cluster ha un endpoint accessibile pubblicamente.
Quando crei un nuovo cluster, Amazon EKS crea un endpoint per il API server Kubernetes gestito che usi per comunicare con il tuo cluster. Per impostazione predefinita, questo endpoint API del server è disponibile pubblicamente su Internet. L'accesso al API server è protetto utilizzando una combinazione di AWS Identity and Access Management (IAM) e Kubernetes Role Based Access Control nativo (). RBAC Rimuovendo l'accesso pubblico all'endpoint, puoi evitare l'esposizione e l'accesso involontari al tuo cluster.
Correzione
Per modificare l'accesso agli endpoint per un EKS cluster esistente, consulta Modificare l'accesso agli endpoint del cluster nella Amazon EKS User Guide. Puoi configurare l'accesso agli endpoint per un nuovo EKS cluster al momento della creazione. Per istruzioni sulla creazione di un nuovo EKS cluster Amazon, consulta Creating an Amazon EKS cluster nella Amazon EKS User Guide.
[EKS.2] EKS i cluster devono essere eseguiti su una versione di Kubernetes supportata
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST
Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni
Gravità: alta
Tipo di risorsa: AWS::EKS::Cluster
AWS Config regola: eks-cluster-supported-version
Tipo di pianificazione: modifica attivata
Parametri:
-
oldestVersionSupported:1.28(non personalizzabile)
Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (EKSAmazon) viene eseguito su una versione di Kubernetes supportata. Il controllo fallisce se il EKS cluster viene eseguito su una versione non supportata.
Se la tua applicazione non richiede una versione specifica di Kubernetes, ti consigliamo di utilizzare l'ultima versione di Kubernetes disponibile supportata da per i tuoi cluster. EKS Per ulteriori informazioni, consulta il calendario di rilascio di Amazon EKS Kubernetes e il supporto delle EKS versioni di Amazon e FAQ nella Amazon EKS User Guide.
Correzione
Per aggiornare un EKS cluster, consulta la sezione Aggiornamento di una versione Amazon EKS Cluster Kubernetes nella Amazon EKS User Guide.
[EKS.3] i EKS cluster devono utilizzare segreti Kubernetes criptati
Requisiti correlati: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, 3, .800-53.r5 SI-28 NIST.800-53.r5 SC-1 NIST
Categoria: Protezione > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::EKS::Cluster
AWS Config regola: eks-secrets-encrypted
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se un EKS cluster Amazon utilizza segreti Kubernetes crittografati. Il controllo fallisce se i segreti Kubernetes del cluster non sono crittografati.
Quando crittografi i segreti, puoi usare AWS Key Management Service (AWS KMS) chiavi per fornire la crittografia in busta dei segreti Kubernetes archiviati in etcd per il tuo cluster. Questa crittografia si aggiunge alla crittografia del EBS volume che è abilitata di default per tutti i dati (inclusi i segreti) archiviati in etcd come parte di un cluster. EKS L'utilizzo della crittografia segreta per il EKS cluster consente di implementare una strategia di difesa approfondita per le applicazioni Kubernetes crittografando i segreti Kubernetes con una chiave definita e gestita dall'utente. KMS
Correzione
Per abilitare la crittografia segreta su un EKS cluster, consulta la sezione Attivazione della crittografia segreta su un cluster esistente nella Amazon EKS User Guide.
[EKS.6] EKS i cluster devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::EKS::Cluster
AWS Config regola: tagged-eks-cluster (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti | Nessun valore predefinito |
Questo controllo verifica se un EKS cluster Amazon dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a un AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag a un EKS cluster, consulta Tagging your Amazon EKS resources nella Amazon EKS User Guide.
[EKS.7] le configurazioni dei provider di EKS identità devono essere etichettate
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::EKS::IdentityProviderConfig
AWS Config regola: tagged-eks-identityproviderconfig (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco dei tag che soddisfano AWS requisiti | Nessun valore predefinito |
Questo controllo verifica se la configurazione di un provider di EKS identità Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la configurazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la configurazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a un AWS risorsa ed è costituita da una chiave e da un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza il tagging, è possibile implementare il controllo di accesso basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. È possibile allegare tag alle IAM entità (utenti o ruoli) e a AWS risorse. È possibile creare una singola ABAC politica o un insieme separato di politiche per IAM i responsabili. È possibile progettare queste ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa ABAC serve AWS? nella Guida IAM per l'utente.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, incluso AWS Billing. Per ulteriori best practice in materia di tagging, consulta Tagging your AWS risorse in Riferimenti generali di AWS.
Correzione
Per aggiungere tag alle configurazioni di un provider di EKS identità, consulta Tagging your Amazon EKS resources nella Amazon EKS User Guide.
[EKS.8] i EKS cluster dovrebbero avere la registrazione di controllo abilitata
Requisiti correlati: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::EKS::Cluster
AWS Config regola: eks-cluster-log-enabled
Tipo di pianificazione: modifica attivata
Parametri:
logTypes: audit(non personalizzabile)
Questo controllo verifica se un EKS cluster Amazon ha abilitato la registrazione di controllo. Il controllo fallisce se la registrazione di controllo non è abilitata per il cluster.
Nota
Questo controllo non verifica se la registrazione di EKS audit di Amazon è abilitata tramite Amazon Security Lake per Account AWS.
EKSla registrazione del piano di controllo fornisce registri di controllo e diagnostica direttamente dal piano di EKS controllo ad Amazon CloudWatch Logs nel tuo account. Puoi selezionare i tipi di log di cui hai bisogno e i log vengono inviati come flussi di log a un gruppo per ogni cluster in cui risiede. EKS CloudWatch La registrazione offre visibilità sull'accesso e sulle prestazioni dei cluster. EKS Inviando i log EKS del piano di controllo per i EKS cluster a CloudWatch Logs, è possibile registrare le operazioni a fini di controllo e diagnostica in una posizione centrale.
Correzione
Per abilitare i log di controllo per il tuo EKS cluster, consulta la sezione Abilitazione e disabilitazione dei log del piano di controllo nella Amazon EKS User Guide.
