翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EKS クラスターの公開の修正
AWS Security Hub は、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターの公開結果を生成できます。
露出検出結果に関連する Amazon EKS クラスターとその識別情報は、検出結果の詳細のリソースセクションに一覧表示されます。これらのリソースの詳細は、Security Hub コンソールで取得することも、Security Hub API の GetFindingsV2オペレーションを使用してプログラムで取得することもできます。
露出検出結果に関連するリソースを特定したら、不要なリソースを削除できます。不要なリソースを削除すると、露出プロファイルと AWS コストを削減できます。リソースが不可欠な場合は、以下の推奨される修復手順に従ってリスクを軽減します。修復トピックは、特性のタイプに基づいて分割されます。
1 つの公開結果には、複数の修復トピックで特定された問題が含まれます。逆に、1 つの修復トピックだけに対処することで、露出の検出結果に対処し、その重要度レベルを下げることができます。リスク修復へのアプローチは、組織の要件とワークロードによって異なります。
注記
このトピックで提供される修復ガイダンスでは、他の AWS リソースで追加の相談が必要になる場合があります。
目次
Amazon EKS クラスターの設定ミス特性
Amazon EKS クラスターの設定ミスの特徴と推奨される修復手順は次のとおりです。
Amazon EKS クラスターがパブリックアクセスを許可する
Amazon EKS クラスターエンドポイントは、クラスターの Kubernetes API サーバーとの通信に使用するエンドポイントです。デフォルトでは、このエンドポイントはインターネットに公開されています。パブリックエンドポイントは、攻撃対象領域と Kubernetes API サーバーへの不正アクセスのリスクを高め、攻撃者がクラスターリソースにアクセスまたは変更したり、機密データにアクセスしたりできる可能性があります。セキュリティのベストプラクティスに従って、 は EKS クラスターエンドポイントへのアクセスを必要な IP 範囲のみに制限 AWS することをお勧めします。
エンドポイントアクセスの変更
露出検出結果で、 リソースを開きます。これにより、影響を受ける Amazon EKS クラスターが開きます。プライベートアクセス、パブリックアクセス、またはその両方を使用するようにクラスターを設定できます。プライベートアクセスでは、クラスターの VPC 内で発生する Kubernetes API リクエストは、プライベート VPC エンドポイントを使用します。パブリックアクセスでは、クラスターの VPC の外部から送信される Kubernetes API リクエストは、パブリックエンドポイントを使用します。
クラスターへのパブリックアクセスの変更または削除
既存のクラスターのエンドポイントアクセスを変更するには、「Amazon Elastic Kubernetes Service ユーザーガイド」の「クラスターエンドポイントアクセスの変更」を参照してください。特定の IP 範囲またはセキュリティグループに基づいて、より制限の厳しいルールを実装します。制限されたパブリックアクセスが必要な場合は、特定の CIDR ブロック範囲へのアクセスを制限するか、プレフィックスリストを使用します。
Amazon EKS クラスターがサポートされていない Kubernetes バージョンを使用している
Amazon EKS は、各 Kubernetes バージョンを一定期間サポートします。サポートされていない Kubernetes バージョンでクラスターを実行すると、CVE パッチが古いバージョンでリリースされなくなるため、環境がセキュリティの脆弱性にさらされる可能性があります。サポートされていないバージョンには、攻撃者が悪用する可能性のある既知のセキュリティ脆弱性が含まれており、新しいバージョンで使用できるセキュリティ機能がない可能性があります。セキュリティのベストプラクティスに従って、 AWS では Kubernetes バージョンを更新することをお勧めします。
Kubernetes バージョンを更新する
露出検出結果で、 リソースを開きます。これにより、影響を受ける Amazon EKS クラスターが開きます。クラスターを更新する前に、Amazon Elastic Kubernetes Service ユーザーガイドの標準サポートで利用可能なバージョンで、現在サポートされている Kubernetes バージョンのリストを確認してください。
Amazon EKS クラスターが暗号化されていない Kubernetes シークレットを使用する
Kubernetes シークレットは、デフォルトでは API サーバーの基盤となるデータストア (etcd) に暗号化されずに保存されます。API アクセスを持つユーザー、または etcd へのアクセス権を持つユーザーは、シークレットを取得または変更できます。これを防ぐには、保管中の Kubernetes シークレットを暗号化する必要があります。Kubernetes シークレットが暗号化されていない場合、 etcd が侵害されると不正アクセスに対して脆弱になります。シークレットにはパスワードや API トークンなどの機密情報が含まれていることが多いため、シークレットが公開されると、他のアプリケーションやデータへの不正アクセスにつながる可能性があります。セキュリティのベストプラクティスに従って、 は Kubernetes シークレットに保存されているすべての機密情報を暗号化 AWS することをお勧めします。
Kubernetes シークレットの暗号化
Amazon EKS は、エンベロープ暗号化による KMS キーを使用した Kubernetes シークレットの暗号化をサポートしています。EKS クラスターの Kubernetes シークレットの暗号化を有効にするには、「Amazon EKS ユーザーガイド」の「既存のクラスターで KMS を使用して Kubernetes シークレットを暗号化する」を参照してください。
Amazon EKS クラスターの脆弱性特性
Amazon EKS クラスターの脆弱性特性は次のとおりです。
Amazon EKS クラスターには、悪用の可能性の高いネットワークで悪用可能なソフトウェアの脆弱性があるコンテナがあります。
EKS クラスターにインストールされているソフトウェアパッケージは、共通脆弱性識別子 (CVEs) に公開できます。重要な CVEs AWS 、環境に重大なセキュリティリスクをもたらします。認可されていないユーザーは、これらのパッチが適用されていない脆弱性を悪用して、データの機密性、完全性、可用性を侵害したり、他のシステムにアクセスしたりする可能性があります。エクスプロイトコードはすでに公開されており、攻撃者や自動スキャンツールによってアクティブに使用されている可能性があるため、エクスプロイトの可能性の高い重大な脆弱性は即時のセキュリティ脅威を表します。セキュリティのベストプラクティスに従って、 は、インスタンスを攻撃から保護するために、これらの脆弱性にパッチを適用 AWS することをお勧めします。
影響を受けるインスタンスを更新する
コンテナイメージを、特定された脆弱性のセキュリティ修正を含む新しいバージョンに更新します。これには通常、更新されたベースイメージまたは依存関係を使用してコンテナイメージを再構築し、新しいイメージを Amazon EKS クラスターにデプロイする必要があります。
Amazon EKS クラスターにソフトウェアの脆弱性があるコンテナがある
Amazon EKS クラスターにインストールされているソフトウェアパッケージは、共通脆弱性識別子 (CVEs) に公開される可能性があります。重要でない CVEsは、重要な CVEs と比較して重要度や悪用可能性が低いセキュリティの弱点を表します。これらの脆弱性は差し迫ったリスクが少なくなりますが、攻撃者はパッチが適用されていないこれらの脆弱性を悪用してデータの機密性、完全性、可用性を侵害したり、他のシステムにアクセスしたりできます。セキュリティのベストプラクティスに従って、 は、インスタンスを攻撃から保護するために、これらの脆弱性にパッチを適用 AWS することをお勧めします。
影響を受けるインスタンスを更新する
コンテナイメージを、特定された脆弱性のセキュリティ修正を含む新しいバージョンに更新します。これには通常、更新されたベースイメージまたは依存関係を使用してコンテナイメージを再構築し、新しいイメージを Amazon EKS クラスターにデプロイする必要があります。
