本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
修复 Amazon EKS 集群的风险
AWS Security Hub 可以生成亚马逊 Elastic Kubernetes Service(亚马逊 EKS)集群的曝光结果。
风险调查结果中涉及的 Amazon EKS 集群及其识别信息列在发现详情的 “资源” 部分中。您可以在 Security Hub 控制台上检索这些资源详细信息,也可以通过 Security Hub API 的GetFindingsV2操作以编程方式检索这些资源详细信息。
确定风险调查结果中涉及的资源后,如果您不需要该资源,则可以将其删除。删除不必要的资源可以减少您的曝光概况和 AWS 成本。如果资源必不可少,请按照这些建议的补救步骤进行操作,以帮助降低风险。补救主题根据特征的类型进行划分。
单个暴露发现包含在多个补救主题中发现的问题。相反,您只需解决一个补救主题即可解决风险发现并降低其严重性级别。您的风险补救方法取决于您的组织要求和工作量。
注意
本主题中提供的补救指南可能需要在其他 AWS 资源中进行进一步的咨询。
目录
Amazon EKS 集群的配置错误特征
以下是 Amazon EKS 集群的配置错误特征和建议的补救步骤。
Amazon EKS 集群允许公共访问
Amazon EKS 集群终端节点是您用来与集群的 Kubernetes API 服务器通信的终端节点。默认情况下,此端点对互联网公开。公共端点会增加您的攻击面积,并增加未经授权访问您的 Kubernetes API 服务器的风险,从而可能允许攻击者访问或修改集群资源或访问敏感数据。遵循安全最佳实践, AWS 建议将对 EKS 集群终端节点的访问限制为仅必要的 IP 范围。
修改终端节点访问权限
在曝光调查结果中,打开资源。这将打开受影响的 Amazon EKS 集群。您可以将集群配置为使用私有访问权限、公共访问或两者兼而有之。通过私有访问,源自集群 VPC 的 Kubernetes API 请求将使用私有 VPC 终端节点。通过公共访问,来自集群 VPC 外部的 Kubernetes API 请求使用公有终端节点。
修改或移除对集群的公共访问权限
要修改现有集群的终端节点访问权限,请参阅 Amazon Elastic Kubernetes Ser vice 用户指南中的修改集群终端节点访问权限。根据特定 IP 范围或安全组实施更严格的规则。如果需要限制公共访问权限,请限制对特定 CIDR 块范围的访问或使用前缀列表。
Amazon EKS 集群使用的是不受支持的 Kubernetes 版本
亚马逊 EKS 在有限的时间内支持每个 Kubernetes 版本。运行不支持的 Kubernetes 版本的集群可能会使您的环境面临安全漏洞,因为对于过时的版本,CVE 补丁将停止发布。不支持的版本可能包含可被攻击者利用的已知安全漏洞,并且缺少新版本中可能提供的安全功能。遵循安全最佳实践, AWS 建议您不断更新您的 Kubernetes 版本。
更新 Kubernetes 版本
在曝光调查结果中,打开资源。这将打开受影响的 Amazon EKS 集群。在更新集群之前,请查看亚马逊 Elastic Kubernetes Service 用户指南中关于标准支持的可用版本,了解当前支持的 Kubernetes 版本列表。
Amazon EKS 集群使用未加密的 Kubernetes 密钥
默认情况下,Kubernetes 机密以未加密方式存储在 API 服务器的底层数据存储 (etcd) 中。任何拥有 API 访问权限或 etcd 访问权限的人都可以检索或修改密钥。为了防止这种情况,你应该对静态的 Kubernetes 机密进行加密。如果 Kubernetes 密钥未加密,则如果 etcd 遭到入侵,则它们很容易受到未经授权的访问。由于机密通常包含密码和 API 令牌等敏感信息,因此泄露这些信息可能会导致未经授权访问其他应用程序和数据。按照安全最佳实践, AWS 建议对存储在 Kubernetes 密钥中的所有敏感信息进行加密。
加密 Kubernetes 机密
Amazon EKS 支持使用 KMS 密钥通过信封加密对 Kubernetes 机密进行加密。要为您的 EKS 集群启用 Kubernetes 密钥的加密,请参阅 Amazon EKS 用户指南中的在现有集群上使用 KMS 加密 Kubernetes 密钥。
Amazon EKS 集群的漏洞特征
以下是 Amazon EKS 集群的漏洞特征。
Amazon EKS 集群的容器中存在可被网络利用的软件漏洞,这些漏洞极有可能被利用
安装在 EKS 集群上的软件包可能会暴露在常见漏洞和漏洞中(CVEs)。 CVEs 危急会给您的 AWS 环境带来严重的安全风险。未经授权的用户可以利用这些未修补的漏洞来破坏数据的机密性、完整性或可用性,或者访问其他系统。由于漏洞利用代码可能已经公开并被攻击者或自动扫描工具积极使用,因此具有高被利用可能性的关键漏洞构成了直接的安全威胁。按照安全最佳实践, AWS 建议修补这些漏洞以保护您的实例免受攻击。
更新受影响的实例
将您的容器镜像更新到包含已识别漏洞的安全修复程序的新版本。这通常包括使用更新的基础映像或依赖项重建容器映像,然后将新映像部署到您的 Amazon EKS 集群。
Amazon EKS 集群中有一个存在软件漏洞的容器
安装在 Amazon EKS 集群上的软件包可能会暴露在常见漏洞和漏洞中(CVEs)。非临界 CVEs 表示安全漏洞,与严重漏洞相比,其严重性或可利用性较低。 CVEs虽然这些漏洞带来的直接风险较小,但攻击者仍然可以利用这些未修补的漏洞来破坏数据的机密性、完整性或可用性,或者访问其他系统。按照安全最佳实践, AWS 建议修补这些漏洞以保护您的实例免受攻击。
更新受影响的实例
将您的容器镜像更新到包含已识别漏洞的安全修复程序的新版本。这通常包括使用更新的基础映像或依赖项重建容器映像,然后将新映像部署到您的 Amazon EKS 集群。
