As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Amazon Elastic Kubernetes Service
Esses controles estão relacionados aos recursos da Amazon EKS.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.
[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Severidade: alta
Tipo de recurso: AWS::EKS::Cluster
Regra do AWS Config : eks-endpoint-no-public-access
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um endpoint de cluster Amazon EKS está acessível publicamente. O controle falhará se um cluster EKS tiver um endpoint acessível ao público.
Quando você cria um novo cluster, o Amazon EKS cria um endpoint para o servidor gerenciado de API do Kubernetes usado para se comunicar com o cluster. Por padrão, esse endpoint do servidor de API está disponível publicamente na internet. O acesso ao servidor da API é protegido usando uma combinação do AWS Identity and Access Management (IAM) e do Kubernetes Role Based Access Control (RBAC) nativo. Ao remover o acesso público ao endpoint, você pode evitar a exposição e o acesso não intencionais ao seu cluster.
Correção
Para modificar o acesso ao endpoint para um cluster EKS existente, consulte Modificar o acesso ao endpoint do cluster no Guia do usuário do Amazon EKS. Você pode configurar o acesso ao endpoint para um novo cluster EKS ao criá-lo. Para obter instruções sobre como criar um novo cluster do Amazon EKS, consulte Criar um cluster do Amazon EKS no Guia do usuário do Amazon EKS.
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: alta
Tipo de recurso: AWS::EKS::Cluster
Regra do AWS Config : eks-cluster-supported-version
Tipo de programação: acionado por alterações
Parâmetros:
-
oldestVersionSupported:1.26(não personalizável)
Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão do Kubernetes com suporte. O controle falhará se o cluster EKS estiver sendo executado em uma versão não compatível.
Se a sua aplicação não exigir uma versão específica do Kubernetes, recomendamos que você use a versão do Kubernetes mais recente disponível compatível com o EKS para seus clusters. Para obter mais informações, consulte o calendário de lançamento do Amazon EKS Kubernetes e o Suporte à versão do Amazon EKS e perguntas frequentes no Guia do usuário do Amazon EKS.
Correção
Para atualizar um cluster EKS, Atualizar uma versão Kubernetes de um cluster do Amazon EKS no Guia do usuário do Amazon EKS.
[EKS.3] Os clusters EKS devem usar segredos criptografados do Kubernetes
Requisitos relacionados: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-12, NIST.800-53.r5 SC-13, Nist.800-53.r5 SI-28
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::EKS::Cluster
Regra do AWS Config : eks-secrets-encrypted
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um cluster Amazon EKS usa segredos criptografados do Kubernetes. O controle falhará se os segredos do Kubernetes do cluster não estiverem criptografados.
Ao criptografar segredos, você pode usar as chaves AWS Key Management Service (AWS KMS) para fornecer criptografia de envelope dos segredos do Kubernetes armazenados no etcd para seu cluster. Essa criptografia é um acréscimo à criptografia de volume do EBS que é ativada por padrão para todos os dados (incluindo segredos) armazenados no etcd como parte de um cluster EKS. O uso da criptografia de segredos para seu cluster EKS permite implantar uma estratégia de defesa aprofundada para aplicativos Kubernetes, criptografando segredos do Kubernetes com uma chave KMS que você define e gerencia.
Correção
Para habilitar a criptografia secreta em um cluster EKS, consulte Habilitar a criptografia secreta em um cluster existente no Guia do usuário do Amazon EKS.
[EKS.6] Os clusters EKS devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EKS::Cluster
Regra AWS Config: tagged-eks-cluster (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um cluster do Amazon EKS tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define permissões com base em tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política ABAC ou um conjunto separado de políticas para seus diretores do IAM. Você pode criar essas políticas ABAC para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a um cluster do EKS, consulte Como marcar seus recursos do Amazon EKS no Guia do usuário do Amazon EKS.
[EKS.7] As configurações do provedor de identidade EKS devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EKS::IdentityProviderConfig
Regra AWS Config: tagged-eks-identityproviderconfig (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem aos AWS requisitos | Nenhum valor padrão |
Esse controle verifica se a configuração de um provedor de identidade do Amazon EKS tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a configuração não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a configuração não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define permissões com base em tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. Você pode criar uma única política ABAC ou um conjunto separado de políticas para seus diretores do IAM. Você pode criar essas políticas ABAC para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags às configurações de um provedor de identidade EKS, consulte Como marcar seus recursos do Amazon EKS no Guia do usuário do Amazon EKS.
[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado
Requisitos relacionados: NIST.800-53.r5 AC-2(12), NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::EKS::Cluster
Regra do AWS Config : eks-cluster-logging-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon EKS tem o registro em log de auditoria habilitado. O controle falhará se o registro em log de auditoria não estiver habilitado para o cluster.
O registro do plano de controle do EKS fornece registros de auditoria e diagnóstico diretamente do plano de controle do EKS para o Amazon CloudWatch Logs em sua conta. Você pode selecionar os tipos de registro necessários, e os registros são enviados como fluxos de log para um grupo para cada cluster EKS em CloudWatch. O registro em log fornece visibilidade sobre o acesso e a performance dos clusters EKS. Ao enviar registros do plano de controle EKS para seus clusters EKS para o CloudWatch Logs, você pode registrar operações para fins de auditoria e diagnóstico em um local central.
Correção
Para habilitar registros em log de auditoria para seu cluster do EKS, consulte Habilitação e desabilitação de logs do ambiente de gerenciamento no Guia do usuário do Amazon EKS.
