このページの改善にご協力ください
このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。
Amazon EKS の脆弱性を分析する
セキュリティは、Kubernetes クラスターとアプリケーションの設定や管理を行う際の重要な考慮事項です。以下に、EKS クラスターのセキュリティ設定を分析するためのリソース、脆弱性をチェックするためのリソース、およびその分析を実行できる AWS サービスとの統合を示します。
Amazon EKS 用 Center for Internet Security (CIS) ベンチマーク
Center for Internet Security (CIS) Kubernetes Benchmark
-
ユーザーが Kubernetes コンポーネントのセキュリティ設定を担当する (マネージド型とセルフマネージド型の両方の) Amazon EC2 ノードに適用されます。
-
Amazon EKS の使用時に Kubernetes クラスターとノードを安全に設定できるように、コミュニティが承認した標準的な方法を提供します。
-
これは、コントロールプレーンでのログ記録の設定、ノードのセキュリティ設定、ポリシー、マネージド型サービスの 4 つのセクションで構成されます。
-
Amazon EKS で現在入手可能なすべての Kubernetes バージョンをサポートし、kube-bench
(Kubernetes クラスターで CIS ベンチマークを使用して構成をチェックするための標準的なオープンソースのツール) により実行されます。
詳細については、「Introducing The CIS Amazon EKS Benchmark (CIS Amazon EKSベンチマークの紹介)
CIS ベンチマークされた AMI でノードグループを更新する自動 aws-sample パイプラインについては、「EKS-Optimized AMI Hardening Pipeline
Amazon EKS のプラットフォームバージョン
Amazon EKS プラットフォームのバージョンは、クラスターコントロールプレーンの機能を表しています。これには、Kubernetes API サーバーでどのフラグが有効であるかや、現在の Kubernetes パッチバージョンなどの情報が含まれます。新しいクラスターは、最新のプラットフォームバージョンでデプロイされます。詳細については、「各 Kubernetes バージョンの Amazon EKS プラットフォームバージョンを表示する」を参照してください。
Amazon EKS クラスターを更新し、新しい Kubernetes バージョンにすることができます。新しい Kubernetes バージョンが Amazon EKS で利用可能になったら、利用可能な最新のバージョンが使用できるように、クラスターをタイムリーに更新することをお勧めします。EKS での Kubernetes のバージョンの詳細については、「EKS の Kubernetes バージョンライフサイクルを理解する」を参照してください。
オペレーティングシステムの脆弱性リスト
AL2023 脆弱性リスト
Amazon Linux セキュリティセンター
Amazon Linux 2 脆弱性リスト
Amazon Linux セキュリティセンター
Amazon Inspector によるノード検出
Amazon Inspector を使用すると、ノードからネットワークに意図しない接続が可能か、また、それらの Amazon EC2 インスタンスに脆弱性があるかを確認できます。
Amazon GuardDuty によるクラスターとノードの検出
Amazon GuardDuty は、AWS 環境内のアカウント、コンテナ、ワークロード、データを保護する脅威検知サービスです。GuardDuty には、EKS クラスターに対する潜在的な脅威を検出する EKS Protection とランタイムモニタリングの 2 つの機能があります。
詳細については「Amazon GuardDuty で脅威を検出する」を参照してください。
