Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Controlli del Security Hub per Amazon EKS

PDF
RSS
Modalità Focus
Controlli del Security Hub per Amazon EKS - AWS Security Hub
[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati[EKS.6] I cluster EKS devono essere etichettati[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Questi controlli del Security Hub valutano il servizio e le risorse Amazon Elastic Kubernetes Service (Amazon EKS). I controlli potrebbero non essere disponibili tutti. Regioni AWS Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[EKS.1] Gli endpoint del cluster EKS non dovrebbero essere accessibili al pubblico

Requisiti correlati: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4,, (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SC-7 PCI DSS v4.0.1/1.4.4

Categoria: Protezione > Configurazione di rete sicura > Risorse non accessibili al pubblico

Gravità: alta

Tipo di risorsa: AWS::EKS::Cluster

Regola AWS Config : eks-endpoint-no-public-access

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un endpoint del cluster Amazon EKS è accessibile pubblicamente. Il controllo fallisce se un cluster EKS ha un endpoint accessibile pubblicamente.

Quando crei un nuovo cluster, Amazon EKS crea un endpoint per il server API Kubernetes gestito che usi per comunicare con il cluster. Per impostazione predefinita, questo endpoint del server API è disponibile pubblicamente su Internet. L'accesso al server API è protetto utilizzando una combinazione di AWS Identity and Access Management (IAM) e il controllo degli accessi basato sul ruolo (RBAC) di Kubernetes nativo. Rimuovendo l'accesso pubblico all'endpoint, puoi evitare l'esposizione e l'accesso involontari al tuo cluster.

Correzione

Per modificare l'accesso agli endpoint per un cluster EKS esistente, consulta Modificare l'accesso agli endpoint del cluster nella Amazon EKS User Guide. Puoi configurare l'accesso agli endpoint per un nuovo cluster EKS al momento della creazione. Per istruzioni sulla creazione di un nuovo cluster Amazon EKS, consulta Creazione di un cluster Amazon EKS nella Guida per l'utente di Amazon EKS.

[EKS.2] I cluster EKS devono essere eseguiti su una versione Kubernetes supportata

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5), PCI DSS v4.0.1/12.3.4

Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni

Gravità: alta

Tipo di risorsa: AWS::EKS::Cluster

Regola AWS Config : eks-cluster-supported-version

Tipo di pianificazione: modifica attivata

Parametri:

  • oldestVersionSupported: 1.30 (non personalizzabile)

Questo controllo verifica se un cluster Amazon Elastic Kubernetes Service (Amazon EKS) viene eseguito su una versione di Kubernetes supportata. Il controllo fallisce se il cluster EKS viene eseguito su una versione non supportata.

Se la tua applicazione non richiede una versione specifica di Kubernetes, ti consigliamo di utilizzare l'ultima versione di Kubernetes disponibile supportata da EKS per i tuoi cluster. Per ulteriori informazioni, consulta il calendario delle release di Amazon EKS Kubernetes e Comprendi il ciclo di vita della versione Kubernetes su Amazon EKS nella Guida per l'utente di Amazon EKS.

Correzione

Per aggiornare un cluster EKS, consulta Aggiornare un cluster esistente a una nuova versione di Kubernetes nella Amazon EKS User Guide.

[EKS.3] I cluster EKS devono utilizzare segreti Kubernetes crittografati

Requisiti correlati: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, 3, 8, PCI DSS NIST.800-53.r5 SC-1 v4.0.1/8.3.2 NIST.800-53.r5 SC-2

Categoria: Proteggi > Protezione dei dati > Crittografia di data-at-rest

Gravità: media

Tipo di risorsa: AWS::EKS::Cluster

Regola AWS Config : eks-cluster-secrets-encrypted

Tipo di pianificazione: periodica

Parametri: nessuno

Questo controllo verifica se un cluster Amazon EKS utilizza segreti Kubernetes crittografati. Il controllo fallisce se i segreti Kubernetes del cluster non sono crittografati.

Quando crittografi i segreti, puoi utilizzare le chiavi AWS Key Management Service (AWS KMS) per fornire la crittografia in busta dei segreti Kubernetes archiviati in etcd per il tuo cluster. Questa crittografia si aggiunge alla crittografia del volume EBS che è abilitata per impostazione predefinita per tutti i dati (inclusi i segreti) archiviati in etcd come parte di un cluster EKS. L'utilizzo della crittografia segreta per il cluster EKS consente di implementare una strategia di difesa approfondita per le applicazioni Kubernetes crittografando i segreti Kubernetes con una chiave KMS definita e gestita dall'utente.

Correzione

Per abilitare la crittografia segreta su un cluster EKS, consulta Abilitazione della crittografia segreta su un cluster esistente nella Guida per l'utente di Amazon EKS.

[EKS.6] I cluster EKS devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EKS::Cluster

AWS Config regola: tagged-eks-cluster (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco di tag che soddisfano i requisiti AWS Nessun valore predefinito

Questo controllo verifica se un cluster Amazon EKS dispone di tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il cluster non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il cluster non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag a un cluster EKS, consulta Tagging your Amazon EKS Resources nella Amazon EKS User Guide.

[EKS.7] Le configurazioni dei provider di identità EKS devono essere contrassegnate

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::EKS::IdentityProviderConfig

AWS Config regola: tagged-eks-identityproviderconfig (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Parametro Descrizione Tipo Valori personalizzati consentiti Valore predefinito di Security Hub
requiredTagKeys Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. StringList Elenco di tag che soddisfano i requisiti AWS Nessun valore predefinito

Questo controllo verifica se la configurazione di un provider di identità Amazon EKS ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se la configurazione non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la configurazione non è etichettata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Nota

Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS

Correzione

Per aggiungere tag alle configurazioni di un provider di identità EKS, consulta Tagging your Amazon EKS resources nella Amazon EKS User Guide.

[EKS.8] I cluster EKS devono avere la registrazione di controllo abilitata

Requisiti correlati: NIST.800-53.r5 AC-2 (12), NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 (20), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.2.1

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::EKS::Cluster

Regola AWS Config : eks-cluster-log-enabled

Tipo di pianificazione: modifica attivata

Parametri:

  • logTypes: audit(non personalizzabile)

Questo controllo verifica se un cluster Amazon EKS ha abilitato la registrazione di audit. Il controllo fallisce se la registrazione di controllo non è abilitata per il cluster.

Nota

Questo controllo non verifica se la registrazione di audit di Amazon EKS è abilitata tramite Amazon Security Lake per. Account AWS

La registrazione del piano di controllo EKS fornisce registri di audit e diagnostica direttamente dal piano di controllo EKS ad Amazon CloudWatch Logs nel tuo account. Puoi selezionare i tipi di log di cui hai bisogno e i log vengono inviati come flussi di log a un gruppo per ogni cluster EKS in cui risiede. CloudWatch La registrazione offre visibilità sull'accesso e sulle prestazioni dei cluster EKS. Inviando i log del piano di controllo EKS per i cluster EKS a CloudWatch Logs, è possibile registrare le operazioni a fini di controllo e diagnostica in una posizione centrale.

Correzione

Per abilitare i log di controllo per il tuo cluster EKS, consulta Abilitazione e disabilitazione dei log del piano di controllo nella Guida per l'utente di Amazon EKS.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.