As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Correção de exposições para clusters do Amazon EKS
AWS O Security Hub pode gerar descobertas de exposição para clusters do Amazon Elastic Kubernetes Service (Amazon EKS).
O cluster Amazon EKS envolvido em uma descoberta de exposição e suas informações de identificação estão listados na seção Recursos dos detalhes da descoberta. Você pode recuperar esses detalhes do recurso no console do Security Hub ou programaticamente com a GetFindingsV2operação da API do Security Hub.
Depois de identificar o recurso envolvido em uma descoberta de exposição, você pode excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de remediação recomendadas para ajudar a mitigar o risco. Os tópicos de remediação são divididos com base no tipo de característica.
Uma única descoberta de exposição contém problemas identificados em vários tópicos de remediação. Por outro lado, você pode abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de remediação. Sua abordagem para remediação de riscos depende de seus requisitos organizacionais e cargas de trabalho.
nota
A orientação de remediação fornecida neste tópico pode exigir consultas adicionais em outros AWS recursos.
Características de configuração incorreta para clusters Amazon EKS
Aqui estão as características de configuração incorreta dos clusters do Amazon EKS e as etapas de correção sugeridas.
O cluster Amazon EKS permite acesso público
O endpoint do cluster Amazon EKS é o endpoint que você usa para se comunicar com o servidor da API Kubernetes do seu cluster. Por padrão, esse endpoint é público na Internet. Os endpoints públicos aumentam sua área de superfície de ataque e o risco de acesso não autorizado ao servidor da API Kubernetes, potencialmente permitindo que invasores acessem ou modifiquem recursos do cluster ou acessem dados confidenciais. Seguindo as melhores práticas de segurança, AWS recomenda restringir o acesso ao endpoint do cluster EKS somente aos intervalos de IP necessários.
Modificar o acesso ao endpoint
Na descoberta de exposição, abra o recurso. Isso abrirá o cluster Amazon EKS afetado. Você pode configurar seu cluster para usar acesso privado, acesso público ou ambos. Com o acesso privado, as solicitações da API Kubernetes que se originam na VPC do seu cluster usam o VPC endpoint privado. Com acesso público, as solicitações da API Kubernetes que se originam de fora da VPC do seu cluster usam o endpoint público.
Modificar ou remover o acesso público ao cluster
Para modificar o acesso ao endpoint para um cluster existente, consulte Modificar o acesso ao endpoint do cluster no Guia do usuário do Amazon Elastic Kubernetes Service. Implemente regras mais restritivas com base em intervalos de IP ou grupos de segurança específicos. Se for necessário acesso público limitado, restrinja o acesso a intervalos de blocos CIDR específicos ou use listas de prefixos.
O cluster Amazon EKS usa uma versão incompatível do Kubernetes
O Amazon EKS oferece suporte a cada versão do Kubernetes por um período limitado de tempo. A execução de clusters com versões incompatíveis do Kubernetes pode expor seu ambiente a vulnerabilidades de segurança, pois os patches do CVE deixarão de ser lançados para versões desatualizadas. As versões não suportadas podem conter vulnerabilidades de segurança conhecidas que podem ser exploradas por invasores e não ter recursos de segurança que possam estar disponíveis em versões mais recentes. Seguindo as melhores práticas de segurança, AWS recomenda manter sua versão do Kubernetes atualizada.
Atualizar a versão do Kubernetes
Na descoberta de exposição, abra o recurso. Isso abrirá o cluster Amazon EKS afetado. Antes de atualizar seu cluster, consulte as versões disponíveis sobre suporte padrão no Guia do usuário do Amazon Elastic Kubernetes Service para obter uma lista das versões atualmente suportadas do Kubernetes.
O cluster Amazon EKS usa segredos não criptografados do Kubernetes
Por padrão, os segredos do Kubernetes são armazenados sem criptografia no armazenamento de dados subjacente (etcd) do servidor de API. Qualquer pessoa com acesso à API ou com acesso ao etcd pode recuperar ou modificar um segredo. Para evitar isso, você deve criptografar os segredos do Kubernetes em repouso. Se os segredos do Kubernetes não forem criptografados, eles estarão vulneráveis ao acesso não autorizado se o etcd for comprometido. Como os segredos geralmente contêm informações confidenciais, como senhas e tokens de API, sua exposição pode levar ao acesso não autorizado a outros aplicativos e dados. Seguindo as melhores práticas de segurança, AWS recomenda criptografar todas as informações confidenciais armazenadas nos segredos do Kubernetes.
Criptografe segredos do Kubernetes
O Amazon EKS oferece suporte à criptografia de segredos do Kubernetes usando chaves KMS por meio da criptografia de envelope. Para habilitar a criptografia de segredos do Kubernetes para seu cluster EKS, consulte Criptografar segredos do Kubernetes com o KMS em clusters existentes no Guia do usuário do Amazon EKS.
Traços de vulnerabilidade para clusters do Amazon EKS
Aqui estão as características de vulnerabilidade dos clusters Amazon EKS.
O cluster Amazon EKS tem um contêiner com vulnerabilidades de software exploráveis em rede com alta probabilidade de exploração
Pacotes de software instalados em clusters EKS podem ser expostos a vulnerabilidades e exposições comuns (). CVEs Os críticos CVEs representam riscos de segurança significativos para seu AWS ambiente. Usuários não autorizados podem explorar essas vulnerabilidades não corrigidas para comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou para acessar outros sistemas. Vulnerabilidades críticas com alta probabilidade de exploração representam ameaças imediatas à segurança, pois o código de exploração pode já estar disponível publicamente e ser usado ativamente por invasores ou por ferramentas de verificação automatizadas. Seguindo as melhores práticas de segurança, AWS recomenda corrigir essas vulnerabilidades para proteger sua instância contra ataques.
Atualizar instâncias afetadas
Atualize suas imagens de contêiner para versões mais recentes que incluam correções de segurança para as vulnerabilidades identificadas. Isso normalmente envolve reconstruir suas imagens de contêiner com imagens básicas ou dependências atualizadas e, em seguida, implantar as novas imagens em seu cluster Amazon EKS.
O cluster Amazon EKS tem um contêiner com vulnerabilidades de software
Os pacotes de software instalados nos clusters do Amazon EKS podem ser expostos a vulnerabilidades e exposições comuns (). CVEs Os não críticos CVEs representam pontos fracos de segurança com menor gravidade ou capacidade de exploração em comparação com os críticos. CVEs Embora essas vulnerabilidades representem menos riscos imediatos, os invasores ainda podem explorar essas vulnerabilidades não corrigidas para comprometer a confidencialidade, a integridade ou a disponibilidade dos dados ou acessar outros sistemas. Seguindo as melhores práticas de segurança, AWS recomenda corrigir essas vulnerabilidades para proteger sua instância contra ataques.
Atualizar instâncias afetadas
Atualize suas imagens de contêiner para versões mais recentes que incluam correções de segurança para as vulnerabilidades identificadas. Isso normalmente envolve reconstruir suas imagens de contêiner com imagens básicas ou dependências atualizadas e, em seguida, implantar as novas imagens em seu cluster Amazon EKS.
