Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Correzione delle esposizioni per i cluster Amazon EKS
AWS Security Hub può generare risultati di esposizione per i cluster Amazon Elastic Kubernetes Service (Amazon EKS).
Il cluster Amazon EKS coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione Risorse dei dettagli del risultato. È possibile recuperare questi dettagli delle risorse sulla console di Security Hub o in modo programmatico con il GetFindingsV2funzionamento dell'API Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
Nota
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
Caratteristiche di errata configurazione per i cluster Amazon EKS
Di seguito sono riportate le caratteristiche di errata configurazione dei cluster Amazon EKS e le procedure di correzione suggerite.
Il cluster Amazon EKS consente l'accesso pubblico
L'endpoint del cluster Amazon EKS è l'endpoint che usi per comunicare con il server API Kubernetes del cluster. Per impostazione predefinita, questo endpoint è pubblico su Internet. Gli endpoint pubblici aumentano la superficie di attacco e il rischio di accesso non autorizzato al server API Kubernetes, permettendo potenzialmente agli aggressori di accedere o modificare le risorse del cluster o accedere a dati sensibili. Seguendo le migliori pratiche di sicurezza, AWS consiglia di limitare l'accesso all'endpoint del cluster EKS solo agli intervalli IP necessari.
Modifica l'accesso agli endpoint
Nel rilevamento dell'esposizione, apri la risorsa. Questo aprirà il cluster Amazon EKS interessato. Puoi configurare il cluster per utilizzare l'accesso privato, l'accesso pubblico o entrambi. Con l'accesso privato, le richieste API Kubernetes che hanno origine all'interno del VPC del cluster utilizzano l'endpoint VPC privato. Con l'accesso pubblico, le richieste API Kubernetes che provengono dall'esterno del VPC del cluster utilizzano l'endpoint pubblico.
Modifica o rimuovi l'accesso pubblico al cluster
Per modificare l'accesso agli endpoint per un cluster esistente, consulta Modificare l'accesso agli endpoint del cluster nella Amazon Elastic Kubernetes Service User Guide. Implementa regole più restrittive basate su intervalli IP o gruppi di sicurezza specifici. Se è necessario un accesso pubblico limitato, limita l'accesso a intervalli di blocchi CIDR specifici o utilizza elenchi di prefissi.
Il cluster Amazon EKS utilizza una versione di Kubernetes non supportata
Amazon EKS supporta ogni versione di Kubernetes per un periodo di tempo limitato. L'esecuzione di cluster con versioni di Kubernetes non supportate può esporre l'ambiente a vulnerabilità di sicurezza, poiché le patch CVE non verranno più rilasciate per le versioni obsolete. Le versioni non supportate possono contenere vulnerabilità di sicurezza note che possono essere sfruttate dagli aggressori e non dispongono delle funzionalità di sicurezza che potrebbero essere disponibili nelle versioni più recenti. Seguendo le migliori pratiche di sicurezza, AWS consiglia di mantenere aggiornata la versione di Kubernetes.
Aggiorna la versione di Kubernetes
Nel rilevamento dell'esposizione, apri la risorsa. Questo aprirà il cluster Amazon EKS interessato. Prima di aggiornare il cluster, consulta la sezione Versioni disponibili sul supporto standard nella Amazon Elastic Kubernetes Service User Guide per un elenco delle versioni di Kubernetes attualmente supportate.
Il cluster Amazon EKS utilizza segreti Kubernetes non crittografati
I segreti Kubernetes sono, per impostazione predefinita, archiviati in modo non crittografato nell'archivio dati sottostante del server API (etcd). Chiunque abbia accesso all'API o a etcd può recuperare o modificare un segreto. Per evitare che ciò accada, è necessario crittografare i segreti di Kubernetes inattivi. Se i Kubernetes Secrets non sono crittografati, sono vulnerabili all'accesso non autorizzato se etcd è compromesso. Poiché i segreti contengono spesso informazioni sensibili come password e token API, la loro esposizione potrebbe portare all'accesso non autorizzato ad altre applicazioni e dati. Seguendo le migliori pratiche di sicurezza, AWS consiglia di crittografare tutte le informazioni sensibili archiviate nei segreti di Kubernetes.
Crittografa i segreti di Kubernetes
Amazon EKS supporta la crittografia dei segreti Kubernetes utilizzando chiavi KMS tramite crittografia a busta. Per abilitare la crittografia dei segreti Kubernetes per il tuo cluster EKS, consulta Encrypt Kubernetes secret with KMS su cluster esistenti nella Amazon EKS User Guide.
Caratteristiche di vulnerabilità per i cluster Amazon EKS
Ecco le caratteristiche di vulnerabilità dei cluster Amazon EKS.
Il cluster Amazon EKS dispone di un contenitore con vulnerabilità software sfruttabili in rete con un'elevata probabilità di sfruttamento
I pacchetti software installati sui cluster EKS possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs I rischi critici CVEs comportano rischi significativi per la sicurezza dell'ambiente. AWS Gli utenti non autorizzati possono sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Le vulnerabilità critiche con un'elevata probabilità di sfruttamento rappresentano minacce immediate alla sicurezza, poiché il codice di exploit potrebbe già essere disponibile al pubblico e utilizzato attivamente dagli aggressori o dagli strumenti di scansione automatizzati. Seguendo le best practice di sicurezza, AWS consiglia di correggere queste vulnerabilità per proteggere l'istanza dagli attacchi.
Aggiorna le istanze interessate
Aggiorna le immagini dei contenitori alle versioni più recenti che includono correzioni di sicurezza per le vulnerabilità identificate. Ciò comporta in genere la ricostruzione delle immagini dei container con immagini di base o dipendenze aggiornate, quindi la distribuzione delle nuove immagini nel cluster Amazon EKS.
Il cluster Amazon EKS dispone di un contenitore con vulnerabilità software
I pacchetti software installati sui cluster Amazon EKS possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs I punti deboli non critici CVEs rappresentano punti deboli di sicurezza con gravità o sfruttabilità inferiori rispetto a quelli critici. CVEs Sebbene queste vulnerabilità rappresentino un rischio meno immediato, gli aggressori possono comunque sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Seguendo le best practice di sicurezza, AWS consiglia di correggere queste vulnerabilità per proteggere l'istanza dagli attacchi.
Aggiorna le istanze interessate
Aggiorna le immagini dei contenitori alle versioni più recenti che includono correzioni di sicurezza per le vulnerabilità identificate. Ciò comporta in genere la ricostruzione delle immagini dei container con immagini di base o dipendenze aggiornate, quindi la distribuzione delle nuove immagini nel cluster Amazon EKS.
