Amazon EKS의 구성 및 취약성 분석

보안은 Kubernetes 클러스터 및 애플리케이션을 구성하고 유지 관리하는 데 중요한 고려 사항입니다. 다음에는 EKS 클러스터의 보안 구성을 분석하기 위한 리소스, 취약성을 확인하기 위한 리소스, 해당 분석을 수행할 수 있는 AWS 서비스와의 통합이 나열되어 있습니다.

Amazon EKS에 대한 Center for Internet Security(CIS) 벤치마크

Center for Internet Security(CIS) Kubernetes 벤치마크는 Amazon EKS 보안 구성에 대한 지침을 제공합니다. 이 벤치마크의 기능:

• Kubernetes 구성 요소의 보안 구성을 담당하는 Amazon EC2 노드(관리형 노드 및 자체 관리형 노드 모두)에 적용할 수 있습니다.

• Amazon EKS를 사용할 때 Kubernetes 클러스터와 노드를 안전하게 구성할 수 있도록 커뮤니티에서 승인한 표준 방법을 제공합니다.

• 컨트롤 플레인 로깅 구성, 노드 보안 구성, 정책 및 관리형 서비스의 4개 섹션으로 구성됩니다.

• 현재 Amazon EKS에서 사용할 수 있는 모든 Kubernetes 버전을 지원하며, Kubernetes 클러스터에서 CIS 벤치마크를 사용하여 구성을 확인하기 위한 표준 오픈 소스 도구인 kube-bench를 사용하여 실행할 수 있습니다.

자세한 내용은 CIS Amazon EKS 벤치마크 소개를 참조하세요.

Amazon EKS 플랫폼 버전

Amazon EKS 플랫폼 버전은 활성화된 Kubernetes API 서버 플래그와 현재 Kubernetes 패치 버전 등 클러스터 컨트롤 플레인의 기능을 나타냅니다. 새 클러스터는 최신 플랫폼 버전과 함께 배포됩니다. 세부 정보는 Amazon EKS 플랫폼 버전을 참조하세요.

새로운 Kubernetes 버전으로 Amazon EKS 클러스터를 업데이트할 수 있습니다. Amazon EKS에서 새로운 Kubernetes 버전을 사용할 수 있게 되면 미리 클러스터를 업데이트하여 최신 버전을 사용하는 것이 좋습니다. EKS의 Kubernetes 버전에 대한 자세한 내용은 Amazon EKS Kubernetes 버전 섹션을 참조하세요.

운영 체제 취약성 목록

AL2023 취약성 목록

Amazon Linux 보안 센터에서 Amazon Linux 2023의 보안 또는 프라이버시 이벤트를 추적하거나 관련 RSS 피드를 구독하세요. 보안 및 프라이버시 이벤트에는 영향을 받는 문제의 개요, 패키지, 인스턴스 업데이트로 문제를 해결하는 방법이 포함됩니다.

Amazon Linux 2 취약성 목록

Amazon Linux 보안 센터에서 Amazon Linux 2의 보안 또는 프라이버시 이벤트를 추적하거나 관련 RSS 피드를 구독하세요. 보안 및 프라이버시 이벤트에는 영향을 받는 문제의 개요, 패키지, 인스턴스 업데이트로 문제를 해결하는 방법이 포함됩니다.

Amazon Inspector로 노드 탐지

Amazon Inspector를 사용하여 노드의 의도하지 않은 네트워크 액세스 가능성과 이러한 Amazon EC2 인스턴스 취약성을 검사할 수 있습니다.

Amazon GuardDuty로 클러스터 및 노드 탐지

Amazon GuardDuty는 AWS 환경 내 계정, 컨테이너, 워크로드 및 데이터를 보호하는 데 도움이 되는 위협 감지 서비스입니다. 다른 기능 중에서도 GuardDuty는 EKS 클러스터에 대한 잠재적 위협을 탐지하는 두 가지 기능인 EKS Protection과 런타임 모니터링을 제공합니다.

자세한 내용은 Amazon GuardDuty로 위협 탐지 단원을 참조하십시오.