기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon EKS 클러스터에 대한 노출 문제 해결
AWS Security Hub는 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 대한 노출 조사 결과를 생성할 수 있습니다.
노출 조사 결과와 관련된 Amazon EKS 클러스터와 해당 식별 정보는 조사 결과 세부 정보의 리소스 섹션에 나열됩니다. 이러한 리소스 세부 정보는 Security Hub 콘솔에서 검색하거나 Security Hub API의 GetFindingsV2 작업을 통해 프로그래밍 방식으로 검색할 수 있습니다.
노출 조사 결과와 관련된 리소스를 식별한 후 필요하지 않은 경우 리소스를 삭제할 수 있습니다. 필수적이지 않은 리소스를 삭제하면 노출 프로필과 AWS 비용을 줄일 수 있습니다. 리소스가 필요한 경우 다음 권장 문제 해결 단계를 수행하여 위험을 완화하세요. 문제 해결 주제는 특성 유형에 따라 구분됩니다.
단일 노출 조사 결과에는 여러 문제 해결 주제에서 식별된 문제가 포함됩니다. 반대로, 하나의 문제 해결 주제만 처리하여 노출 조사 결과를 해결하고 심각도 수준을 낮출 수 있습니다. 위험 해결 방법은 조직의 요구 사항과 워크로드에 따라 달라집니다.
참고
이 주제에 제공된 문제 해결 지침에 따라 다른 AWS 리소스에서 추가 상담이 필요할 수 있습니다.
목차
Amazon EKS 클러스터의 구성 오류 특성
다음은 Amazon EKS 클러스터의 잘못된 구성 특성과 제안된 수정 단계입니다.
Amazon EKS 클러스터는 퍼블릭 액세스를 허용합니다.
Amazon EKS 클러스터 엔드포인트는 클러스터의 Kubernetes API 서버와 통신하는 데 사용하는 엔드포인트입니다. 기본적으로이 엔드포인트는 인터넷에 공개됩니다. 퍼블릭 엔드포인트는 공격 영역과 Kubernetes API 서버에 대한 무단 액세스 위험을 증가시켜 공격자가 클러스터 리소스에 액세스하거나 수정하거나 민감한 데이터에 액세스할 수 있도록 합니다. 보안 모범 사례에 따라는 EKS 클러스터 엔드포인트에 대한 액세스를 필요한 IP 범위로만 제한하는 것이 AWS 좋습니다.
엔드포인트 액세스 수정
노출 조사 결과에서 리소스를 엽니다. 그러면 영향을 받는 Amazon EKS 클러스터가 열립니다. 프라이빗 액세스, 퍼블릭 액세스 또는 둘 다를 사용하도록 클러스터를 구성할 수 있습니다. 프라이빗 액세스의 경우 클러스터의 VPC 내에서 시작되는 Kubernetes API 요청은 프라이빗 VPC 엔드포인트를 사용합니다. 퍼블릭 액세스의 경우 클러스터의 VPC 외부에서 시작되는 Kubernetes API 요청은 퍼블릭 엔드포인트를 사용합니다.
클러스터에 대한 퍼블릭 액세스 수정 또는 제거
기존 클러스터에 대한 엔드포인트 액세스를 수정하려면 Amazon Elastic Kubernetes Service 사용 설명서의 클러스터 엔드포인트 액세스 수정을 참조하세요. 특정 IP 범위 또는 보안 그룹을 기반으로 보다 제한적인 규칙을 구현합니다. 제한된 퍼블릭 액세스가 필요한 경우 특정 CIDR 블록 범위로 액세스를 제한하거나 접두사 목록을 사용합니다.
Amazon EKS 클러스터는 지원되지 않는 Kubernetes 버전을 사용합니다.
Amazon EKS는 제한된 기간 동안 각 Kubernetes 버전을 지원합니다. 지원되지 않는 Kubernetes 버전으로 클러스터를 실행하면 CVE 패치가 오래된 버전에 대해 릴리스되지 않으므로 환경이 보안 취약성에 노출될 수 있습니다. 지원되지 않는 버전에는 공격자가 악용할 수 있고 최신 버전에서 사용할 수 있는 보안 기능이 없는 알려진 보안 취약성이 포함될 수 있습니다. 보안 모범 사례에 따라는 Kubernetes 버전을 업데이트하는 것을 AWS 권장합니다.
Kubernetes 버전 업데이트
노출 조사 결과에서 리소스를 엽니다. 그러면 영향을 받는 Amazon EKS 클러스터가 열립니다. 클러스터를 업데이트하기 전에 현재 지원되는 Kubernetes 버전 목록은 Amazon Elastic Kubernetes Service 사용 설명서의 표준 지원에서 사용 가능한 버전을 검토하세요.
Amazon EKS 클러스터는 암호화되지 않은 Kubernetes 보안 암호를 사용합니다.
Kubernetes 보안 암호는 기본적으로 API 서버의 기본 데이터 스토어(etcd)에 암호화되지 않은 상태로 저장됩니다. API 액세스 권한이 있거나 etcd에 액세스할 수 있는 사람은 누구나 보안 암호를 검색하거나 수정할 수 있습니다. 이를 방지하려면 유휴 시 Kubernetes 보안 암호를 암호화해야 합니다. Kubernetes 보안 암호가 암호화되지 않은 경우 etcd가 손상되면 무단 액세스에 취약합니다. 보안 암호에는 암호 및 API 토큰과 같은 민감한 정보가 포함되어 있는 경우가 많으므로 노출되면 다른 애플리케이션 및 데이터에 대한 무단 액세스로 이어질 수 있습니다. 보안 모범 사례에 따라는 Kubernetes 보안 암호에 저장된 모든 민감한 정보를 암호화하는 것을 AWS 권장합니다.
Kubernetes 보안 암호 암호화
Amazon EKS는 봉투 암호화를 통해 KMS 키를 사용하여 Kubernetes 보안 암호의 암호화를 지원합니다. EKS 클러스터에 대한 Kubernetes 보안 암호의 암호화를 활성화하려면 Amazon EKS 사용 설명서의 기존 클러스터에서 KMS를 사용하여 Kubernetes 보안 암호 암호화를 참조하세요.
Amazon EKS 클러스터의 취약성 특성
다음은 Amazon EKS 클러스터의 취약성 특성입니다.
Amazon EKS 클러스터에는 악용 가능성이 높은 네트워크 탐색 가능 소프트웨어 취약성이 있는 컨테이너가 있습니다.
EKS 클러스터에 설치된 소프트웨어 패키지는 일반적인 취약성 및 노출(CVEs. 중요 CVEs AWS 환경에 심각한 보안 위험을 초래합니다. 권한이 없는 사용자는 이러한 패치되지 않은 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. 악용 가능성이 높은 심각한 취약성은 공격자 또는 자동 스캔 도구에서 악용 코드를 이미 공개적으로 사용할 수 있고 적극적으로 사용할 수 있으므로 즉각적인 보안 위협을 나타냅니다. 보안 모범 사례에 따라는 이러한 취약성을 패치하여 인스턴스를 공격으로부터 보호하는 것이 AWS 좋습니다.
영향을 받는 인스턴스 업데이트
컨테이너 이미지를 식별된 취약성에 대한 보안 수정 사항이 포함된 최신 버전으로 업데이트합니다. 여기에는 일반적으로 업데이트된 기본 이미지 또는 종속성을 사용하여 컨테이너 이미지를 다시 빌드한 다음 새 이미지를 Amazon EKS 클러스터에 배포하는 작업이 포함됩니다.
Amazon EKS 클러스터에 소프트웨어 취약성이 있는 컨테이너가 있음
Amazon EKS 클러스터에 설치된 소프트웨어 패키지는 일반적인 취약성 및 노출(CVEs. 중요하지 않은 CVEs 중요 CVEs에 비해 심각도 또는 악용 가능성이 낮은 보안 약점을 나타냅니다. 이러한 취약성은 즉각적인 위험을 초래하지 않지만 공격자는 패치되지 않은 이러한 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. 보안 모범 사례에 따라는 이러한 취약성을 패치하여 인스턴스를 공격으로부터 보호하는 것이 AWS 좋습니다.
영향을 받는 인스턴스 업데이트
컨테이너 이미지를 식별된 취약성에 대한 보안 수정 사항이 포함된 최신 버전으로 업데이트합니다. 여기에는 일반적으로 업데이트된 기본 이미지 또는 종속성을 사용하여 컨테이너 이미지를 다시 빌드한 다음 새 이미지를 Amazon EKS 클러스터에 배포하는 작업이 포함됩니다.
