Amazon EKS での設定と脆弱性の分析

セキュリティは、Kubernetes クラスターとアプリケーションを設定および保守するための重要な考慮事項です。以下に、EKS クラスターのセキュリティ設定を分析するためのリソース、脆弱性をチェックするためのリソース、およびその分析を実行できる AWS サービスとの統合を示します。

Amazon EKS 用 Center for Internet Security (CIS) ベンチマーク

Center for Internet Security (CIS) Kubernetes ベンチマーク は、Amazon EKS のセキュリティ設定に関するガイダンスを提供します。ベンチマーク:

• Kubernetes コンポーネントのセキュリティ設定を担当する Amazon EC2 ノード (マネージドとセルフマネージドの両方) に適用できます。

• Amazon EKS を使用するときに、Kubernetes クラスターとノードを安全に設定したことを確認するための標準のコミュニティ承認済みの方法を提供します。

• これは、コントロールプレーンでのログ記録の設定、ノードのセキュリティ設定、ポリシー、マネージド型サービスの 4 つのセクションで構成されます。

• Amazon EKS で現在利用可能なすべての Kubernetes バージョンをサポートし、Kubernetes クラスターで CIS ベンチマークを使用して設定を確認するための標準のオープンソースツールである kube-bench を使用して実行できます。

詳細については、「Introducing The CIS Amazon EKS Benchmark (CIS Amazon EKSベンチマークの紹介)」を参照してください。

Amazon EKS のプラットフォームバージョン

Amazon EKS プラットフォームのバージョンは、クラスターコントロールプレーンの機能を表しています。これには、Kubernetes API サーバーでどのフラグが有効であるかや、現在の Kubernetes パッチバージョンなどの情報が含まれます。新しいクラスターは、最新のプラットフォームバージョンでデプロイされます。詳細については、「各 Kubernetes バージョンの Amazon EKS プラットフォームのバージョンを表示する」を参照してください。

新しい Kubernetes バージョンに Amazon EKS クラスター を更新することができます。新しい Kubernetes バージョンが Amazon EKS で利用可能になったら、利用可能な最新のバージョンが使用できるよう、クラスターをタイムリーに更新することをお勧めします。EKS での Kubernetes のバージョンの詳細については、「EKS の Kubernetes バージョンライフサイクルを理解する」を参照してください。

オペレーティングシステムの脆弱性リスト

AL2023 脆弱性リスト

Amazon Linux セキュリティセンター で Amazon Linux 2023 のセキュリティまたはプライバシーイベントを追跡するか、関連する RSS フィードを購読します。セキュリティおよびプライバシーイベントには、影響を受ける問題の概要、パッケージ、および問題を修正するためにインスタンスを更新する手順などがあります。

Amazon Linux 2 脆弱性リスト

Amazon Linux セキュリティセンター で Amazon Linux 2 のセキュリティまたはプライバシーイベントを追跡するか、関連する RSS フィードをサブスクライブします。セキュリティおよびプライバシーイベントには、影響を受ける問題の概要、パッケージ、および問題を修正するためにインスタンスを更新する手順などがあります。

Amazon Inspector によるノード検出

Amazon Inspector を使用すると、ノードからネットワークに意図しない接続が可能か、また、それらの Amazon EC2 インスタンスに脆弱性があるかを確認できます。

Amazon GuardDuty によるクラスターとノードの検出

Amazon GuardDuty は、AWS 環境内のアカウント、コンテナ、ワークロード、データを保護する脅威検知サービスです。GuardDuty には、EKS クラスターに対する潜在的な脅威を検出する EKS Protection とランタイムモニタリングの 2 つの機能があります。

詳細については、「Amazon GuardDuty で脅威を検出する」を参照してください。