Controles do Security Hub para o Amazon EkS
Esses controles do Security Hub avaliam o serviço e os recursos do Amazon Elastic Kubernetes Service (Amazon EKS). Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[EKS.1] Os endpoints do cluster EKS não devem ser acessíveis ao público
Requisitos relacionados: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9), PCI DSS v4.0.1/1.4.4
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Gravidade: alta
Tipo de recurso: AWS::EKS::Cluster
AWS Config Regra: eks-endpoint-no-public-access
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um endpoint de cluster do Amazon EKS está acessível publicamente. O controle falhará se um cluster EKS tiver um endpoint acessível ao público.
Quando você cria um novo cluster, o Amazon EKS cria um endpoint para o servidor gerenciado de API do Kubernetes que é usado para comunicação com o cluster. Por padrão, esse endpoint do servidor de API está disponível publicamente na Internet. O acesso ao servidor da API do Kubernetes é protegido usando uma combinação de AWS Identity and Access Management(IAM) e do controle de acesso baseado em função (RBAC) nativo do Kubernetes. Ao remover o acesso público ao endpoint, você pode evitar a exposição e o acesso não intencionais ao seu cluster.
Correção
Para modificar o acesso ao endpoint para um cluster EKS existente, consulte Modificar o acesso ao endpoint do cluster no Guia do usuário do Amazon EKS. É possível configurar o acesso ao endpoint para um novo cluster EKS ao criá-lo. Para obter instruções sobre como criar um novo cluster do Amazon EKS, consulte Criar um cluster do Amazon EKS no Guia do usuário do Amazon EKS.
[EKS.2] Os clusters EKS devem ser executados em uma versão compatível do Kubernetes
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5), PCI DSS v4.0.1/12.3.4
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Gravidade: alta
Tipo de recurso: AWS::EKS::Cluster
AWS Config Regra: eks-cluster-supported-version
Tipo de programação: acionado por alterações
Parâmetros:
-
oldestVersionSupported:1.31(não personalizável)
Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (Amazon EKS) está sendo executado em uma versão compatível do Kubernetes. O controle falhará se o cluster do EKS for executado em uma versão não compatível.
Se a sua aplicação não exigir uma versão específica do Kubernetes, recomendamos que você use a versão do Kubernetes mais recente disponível compatível com o EKS para seus clusters. Para obter mais informações, consulte o calendário de lançamento do Amazon EKS Kubernetes e o Noções básicas sobre o ciclo de vida das versões do Kubernetes no Amazon EKS no Guia do usuário do Amazon EKS.
Correção
Para atualizar um cluster do EKS, consulte Atualização de um cluster existente para uma nova versão do Kubernetes no Guia do usuário do Amazon EKS.
[EKS.3] Os clusters do EKS devem usar segredos criptografados do Kubernetes
Requisitos relacionados: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-12, NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, PCI DSS v4.0.1/8.3.2
Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso
Gravidade: média
Tipo de recurso: AWS::EKS::Cluster
AWS Config Regra: eks-cluster-secrets-encrypted
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um cluster do Amazon EKS usa segredos criptografados do Kubernetes. O controle falhará se os segredos do Kubernetes do cluster não forem criptografados.
Ao criptografar segredos, você pode usar as chaves do AWS Key Management Service (AWS KMS) para fornecer criptografia envelopada dos segredos do Kubernetes armazenados no etcd para o cluster. Essa criptografia é adicional à criptografia de volume do EBS que é habilitada por padrão para todos os dados (incluindo segredos) armazenados no etcd como parte de um cluster do EKS. Usar criptografia de segredos para o cluster do EKS permite implantar uma estratégia de defesa em profundidade para aplicações do Kubernetes, criptografando os segredos do Kubernetes com uma chave do KMS que você define e gerencia.
Correção
Para habilitar a criptografia de segredos em um cluster do EKS, consulte Habilitar a criptografia de segredos em um cluster existente no Manual do usuário do Amazon EKS.
[EKS.6] Os clusters do EKS devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::EKS::Cluster
Regra AWS Config: tagged-eks-cluster (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se um cluster do Amazon EKS tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um cluster do EKS, consulte Marcar recursos do Amazon EKS com tags no Manual do usuário do Amazon EKS.
[EKS.7] As configurações do provedor de identidades do EKS devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::EKS::IdentityProviderConfig
Regra AWS Config: tagged-eks-identityproviderconfig (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se a configuração de um provedor de identidades do Amazon EKS tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se a configuração não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a configuração não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags às configurações de um provedor de identidades EKS, consulte Marcar recursos do Amazon EKS com tags no Manual do usuário do Amazon EKS.
[EKS.8] Os clusters do EKS devem ter o registro em log de auditoria habilitado
Requisitos relacionados: NIST.800-53.r5 AC-2(12), NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.2.1
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::EKS::Cluster
AWS Config Regra: eks-cluster-log-enabled
Tipo de programação: acionado por alterações
Parâmetros:
logTypes: audit(não personalizável)
Esse controle verifica se um cluster do Amazon EKS tem o registro em log de auditoria habilitado. O controle falhará se o registro em log de auditoria não estiver habilitado para o cluster.
nota
Esse controle não verifica se o registro em log de auditoria do Amazon EKS é habilitado por meio do Amazon Security Lake para Conta da AWS.
O registro em log do ambiente de gerenciamento do Amazon EKS fornece logs de auditoria e diagnóstico diretamente do ambiente de gerenciamento do EKS para o Amazon CloudWatch Logs em sua conta. É possível selecionar os tipos de logs que precisa, e eles serão enviados como fluxos de log para um grupo em cada cluster do EKS no CloudWatch. O registro em log fornece visibilidade sobre o acesso e a performance dos clusters EKS. Ao enviar os logs do ambiente de gerenciamento do EKS para seus clusters do EKS para o CloudWatch Logs, será possível registrar as operações para fins de auditoria e diagnóstico em um local central.
Correção
Para habilitar registros em log de auditoria para seu cluster do EKS, consulte Habilitação e desabilitação de logs do ambiente de gerenciamento no Guia do usuário do Amazon EKS.
