EKSClusters da Amazon - Abordagens para gerenciar agentes GuardDuty de segurança - Amazon GuardDuty
Abordagens para gerenciar o agente GuardDuty de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

EKSClusters da Amazon - Abordagens para gerenciar agentes GuardDuty de segurança

GuardDuty Para consumir os eventos de tempo de execução de seus EKS clusters no nível da conta ou do cluster, é necessário gerenciar o agente de GuardDuty segurança dos clusters correspondentes.

Abordagens para gerenciar o agente GuardDuty de segurança

Antes de 13 de setembro de 2023, você podia configurar GuardDuty para gerenciar o agente de segurança no nível da conta. Esse comportamento indicou que, por padrão, GuardDuty gerenciará o agente de segurança em todos os EKS clusters que pertencem a um Conta da AWS. Agora, GuardDuty fornece um recurso granular para ajudá-lo a escolher os EKS clusters nos quais você GuardDuty deseja gerenciar o agente de segurança.

Ao optar por issoGerencie o agente de GuardDuty segurança manualmente, você ainda pode selecionar os EKS clusters que deseja monitorar. No entanto, para gerenciar o agente manualmente, criar um VPC endpoint da Amazon para você Conta da AWS é um pré-requisito.

nota

Independentemente da abordagem usada para gerenciar o agente de GuardDuty segurança, o EKS Runtime Monitoring está sempre ativado no nível da conta.

Gerencie o agente de segurança por meio de GuardDuty

GuardDuty implanta e gerencia o agente de segurança em seu nome. A qualquer momento, você pode monitorar os EKS clusters em sua conta usando uma das abordagens a seguir.

Monitore todos os EKS clusters

  • Quando usar essa abordagem — Use essa abordagem quando quiser GuardDuty implantar e gerenciar o agente de segurança para todos os EKS clusters da sua conta. Por padrão, também GuardDuty implantará o agente de segurança em um EKS cluster potencialmente novo criado em sua conta.

  • Impacto do uso dessa abordagem:

    • GuardDuty cria um endpoint da Amazon Virtual Private Cloud (AmazonVPC) por meio do qual o agente GuardDuty de segurança entrega os eventos de tempo de execução. GuardDuty Não há custo adicional para a criação do VPC endpoint da Amazon quando você gerencia o agente de segurança por meio GuardDuty de.

    • É necessário que seu nó de trabalho tenha um caminho de rede válido para um guardduty-data VPC endpoint ativo. GuardDuty implanta o agente de segurança em seus EKS clusters. O Amazon Elastic Kubernetes Service (EKSAmazon) coordenará a implantação do agente de segurança nos nós dentro dos clusters. EKS

    • Com base na disponibilidade de IP, GuardDuty seleciona a sub-rede para criar um VPC endpoint. Se você usa topologias de rede avançadas, deve validar se a conectividade é possível.

  • Consideração — Atualmente, quando você usa essa opção, o EKS Runtime Monitoring não cria um compartilhamentoVPC.

Monitore todos os EKS clusters e exclua clusters seletivos EKS

  • Quando usar essa abordagem — Use essa abordagem quando quiser GuardDuty gerenciar o agente de segurança para todos os EKS clusters em sua conta, mas excluir EKS clusters seletivos. Esse método usa uma abordagem baseada em tag 1, na qual você pode marcar os EKS clusters para os quais não deseja receber os eventos de tempo de execução. A tag predefinida deve ter GuardDutyManaged-false como par de chave-valor.

  • Impacto do uso dessa abordagem:

    • Essa abordagem exige que você ative o gerenciamento automático de GuardDuty agentes somente depois de adicionar tags aos EKS clusters que você deseja excluir do monitoramento.

      Portanto, o impacto ao Gerencie o agente de segurança por meio de GuardDuty também se aplica a essa abordagem. Quando você adiciona tags antes de ativar o gerenciamento automático do GuardDuty agente, não GuardDuty implantará nem gerenciará o agente de segurança para os EKS clusters excluídos do monitoramento.

  • Considerações:

    • Você deve adicionar o par chave-valor da tag comoGuardDutyManaged: false para os EKS clusters seletivos antes de ativar a configuração automatizada do agente, caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters até que você use a tag.

    • Você deve evitar que as tags sejam modificadas, exceto por identidades confiáveis.

      Importante

      Gerencie as permissões para modificar o valor da GuardDutyManaged tag do seu EKS cluster usando políticas ou IAM políticas de controle de serviços. Para obter mais informações, consulte Políticas de controle de serviço (SCPs) no Guia AWS Organizations do usuário ou Controle o acesso aos AWS recursos no Guia IAM do usuário.

    • Para um EKS cluster potencialmente novo que você não deseja monitorar, certifique-se de adicionar o par de false valores-chave GuardDutyManaged - no momento da criação desse EKS cluster.

    • Essa abordagem também terá a mesma consideração especificada para Monitore todos os EKS clusters.

Monitore clusters seletivos EKS

  • Quando usar essa abordagem — Use essa abordagem quando quiser GuardDuty implantar e gerenciar as atualizações do agente de segurança somente para EKS clusters seletivos em sua conta. Esse método usa uma abordagem baseada em tag 1, na qual você pode marcar o EKS cluster para o qual deseja receber os eventos de tempo de execução.

  • Impacto do uso dessa abordagem:

    • Ao usar tags de inclusão, GuardDuty implantará e gerenciará automaticamente o agente de segurança somente para os EKS clusters seletivos marcados com GuardDutyManaged - true como o par de valores-chave.

    • Essa abordagem também terá o mesmo impacto especificado para Monitore todos os EKS clusters.

  • Considerações:

    • Se o valor da GuardDutyManaged tag não estiver definido comotrue, a tag de inclusão não funcionará conforme o esperado e isso poderá afetar o monitoramento EKS do cluster.

    • Para garantir que seus EKS clusters seletivos sejam monitorados, você precisa evitar que as tags sejam modificadas, exceto por identidades confiáveis.

      Importante

      Gerencie as permissões para modificar o valor da GuardDutyManaged tag do seu EKS cluster usando políticas ou IAM políticas de controle de serviços. Para obter mais informações, consulte Políticas de controle de serviço (SCPs) no Guia AWS Organizations do usuário ou Controle o acesso aos AWS recursos no Guia IAM do usuário.

    • Para um EKS cluster potencialmente novo que você não deseja monitorar, certifique-se de adicionar o par de false valores-chave GuardDutyManaged - no momento da criação desse EKS cluster.

    • Essa abordagem também terá a mesma consideração especificada para Monitore todos os EKS clusters.

1 Para obter mais informações sobre a marcação de EKS clusters seletivos, consulte Como marcar seus EKS recursos da Amazon no Guia do usuário da Amazon EKS.

Gerencie o agente de GuardDuty segurança manualmente

  • Quando usar essa abordagem — Use essa abordagem quando quiser implantar e gerenciar o agente GuardDuty de segurança em todos os seus EKS clusters manualmente. Certifique-se EKS de que o Runtime Monitoring esteja ativado para suas contas. O agente GuardDuty de segurança pode não funcionar conforme o esperado se você não ativar o EKS Runtime Monitoring.

  • Impacto do uso dessa abordagem — Você precisará coordenar a implantação do software do agente de GuardDuty segurança em seus EKS clusters em todas as contas e Regiões da AWS onde esse recurso estiver disponível.

  • Considerações: você deve oferecer suporte ao fluxo de dados seguro enquanto monitora e aborda as lacunas de cobertura à medida que novos clusters e workloads são implantados continuamente.