本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 的 Security Hub 控制 EKS
這些 Security Hub 控制項可評估 Amazon Elastic Kubernetes Service (AmazonEKS) 服務和資源。
這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性。
[EKS.1] EKS 叢集端點不應可公開存取
相關要求: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6,, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
分類:保護 > 安全網路設定 > 無法公開存取的資源
嚴重性:高
資源類型:AWS::EKS::Cluster
AWS Config 規則:eks-endpoint-no-public-access
排程類型:定期
參數:無
此控制項可檢查 Amazon EKS 叢集端點是否可公開存取。如果EKS叢集具有可公開存取的端點,則控制項會失敗。
當您建立新叢集時,Amazon EKS 會為您用來與叢集通訊的受管 Kubernetes API 伺服器建立端點。根據預設,此API伺服器端點是公開提供給網際網路。對API伺服器的存取是使用以下組合來保護 AWS Identity and Access Management (IAM) 和原生 Kubernetes 角色型存取控制 ()。RBAC透過移除端點的公開存取權,您可以避免無意暴露和存取叢集。
修補
若要修改現有EKS叢集的端點存取,請參閱 Amazon EKS 使用者指南中的修改叢集端點存取。您可以在建立新EKS叢集時為其設定端點存取。如需建立新 Amazon EKS 叢集的指示,請參閱 Amazon EKS使用者指南中的建立 Amazon EKS 叢集。
[EKS.2] EKS 叢集應在受支援的 Kubernetes 版本上執行
相關需求: NIST.800-53.r5 CA-9(1)、NIST .800-53.R5 四、五、三、五、三、五四 (2)、NIST .800-53.R5 四二 (4)、NIST .800-53.R5 四 (4) NIST NIST
類別:識別 > 漏洞、修補程式和版本管理
嚴重性:高
資源類型:AWS::EKS::Cluster
AWS Config 規則:eks-cluster-supported-version
排程類型:已觸發變更
參數:
-
oldestVersionSupported:1.28(不可定制)
此控制項會檢查 Amazon Elastic Kubernetes Service (AmazonEKS) 叢集是否在支援的 Kubernetes 版本上執行。如果EKS叢集在不支援的版本上執行,則控制項會失敗。
如果您的應用程式不需要特定版本的 Kubernetes,建議您使用叢集支援的最新可用 Kubernetes 版本。EKS如需詳細資訊,請參閱 Amazon EKS Kubernetes 發行日曆和 Amazon EKS 版本支援和 FAQ Amazon EKS 使用者指南。
修補
若要更新EKS叢集,請在 Amazon 使用者指南中更新 Amazon EKS 叢集 Kubernetes 版本。EKS
[EKS.3] EKS 叢集應使用加密的 Kubernetes 秘密
相關要求: NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-1二、 NIST.800-53.r5 SC-1三、NIST SI-28
分類:保護 > 資料保護 > 加密 data-at-rest
嚴重性:中
資源類型:AWS::EKS::Cluster
AWS Config 規則:eks-secrets-encrypted
排程類型:定期
參數:無
此控制項會檢查 Amazon EKS 叢集是否使用加密的 Kubernetes 密碼。如果叢集的 Kubernetes 密碼未加密,則控制項會失敗。
加密密碼時,您可以使用 AWS Key Management Service (AWS KMS) 為叢集提供儲存在 etcd 中之 Kubernetes 密碼的信封加密的金鑰。此加密除了EBS磁碟區加密之外,預設會為儲存在 etcd 中做為EKS叢集一部分的所有資料 (包括機密) 啟用此加密功能。針對EKS叢集使用密碼加密,可讓您使用您定義和管理的金鑰加密 Kubernetes 密碼,為 Kubernetes 應用程式部署深度防禦策略。KMS
修補
若要在EKS叢集上啟用密碼加密,請參閱 Amazon EKS 使用者指南中的在現有叢集上啟用秘密加密。
[EKS.6] EKS 叢集應標記
類別:識別 > 庫存 > 標籤
嚴重性:低
資源類型:AWS::EKS::Cluster
AWS Config規則:tagged-eks-cluster(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 | StringList | 符合的標籤列表 AWS 要求 | 無預設值 |
此控制項會檢查 Amazon EKS 叢集是否具有標籤,其中包含參數中定義的特定金鑰requiredTagKeys。如果叢集沒有任何標籤索引鍵或沒有在參數中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數,則控制項只會檢查標籤金鑰是否存在,如果叢集未使用任何索引鍵標記,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。
標籤是您指派給標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 在《IAM使用者指南》中。
注意
不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記 AWS中的資源 AWS 一般參考.
修補
若要將標籤新增至EKS叢集,請參閱 Amazon EKS使用者指南中的標記 Amazon EKS 資源。
[EKS.7] 應標記EKS身份提供程序配置
類別:識別 > 庫存 > 標籤
嚴重性:低
資源類型:AWS::EKS::IdentityProviderConfig
AWS Config規則:tagged-eks-identityproviderconfig(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 | StringList | 符合的標籤列表 AWS 要求 | 無預設值 |
此控制項會檢查 Amazon EKS 身分供應商組態是否具有標籤,其中包含參數中定義的特定金鑰requiredTagKeys。如果組態沒有任何標籤鍵,或者沒有在參數中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤金鑰是否存在,如果設定未使用任何金鑰標記,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。
標籤是您指派給標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 在《IAM使用者指南》中。
注意
不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記 AWS中的資源 AWS 一般參考.
修補
若要將標籤新增至EKS身分供應商組態,請參閱 Amazon EKS使用者指南中的標記 Amazon EKS 資源。
[EKS.8] EKS 叢集應啟用稽核記錄
相關要求: NIST.800-53.r5 AC-2(12)、 NIST.800-53.r5 AC-2 (4)、(26)、 NIST.800-53.r5 AC-4 (9)、(9)、 NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、.800-53.r5 四 NIST.800-53.r5 SC-7 (20)、NIST .800-53.r5 (20)、.800-53.r5 (20)、NIST .800-53.r5 SI-7 (8) NIST NIST
類別:識別 > 記錄日誌
嚴重性:中
資源類型:AWS::EKS::Cluster
AWS Config 規則:eks-cluster-log-enabled
排程類型:已觸發變更
參數:
logTypes: audit(不可定制)
此控制項會檢查 Amazon EKS 叢集是否已啟用稽核記錄。如果未為叢集啟用稽核記錄,則控制項會失敗。
注意
此控制項不會檢查 Amazon EKS 稽核記錄是否已透過 Amazon 安全湖啟用 AWS 帳戶.
EKS控制平面記錄可將稽核和診斷日誌直接從EKS控制平面提供到帳戶中的 Amazon Lo CloudWatch gs。您可以選取所需的記錄類型,記錄會以記錄串流的形式傳送至中每個EKS叢集的群組 CloudWatch。記錄可讓您查看EKS叢集的存取和效能。透過將EKS叢集的EKS控制平面記錄傳送至記錄CloudWatch 檔,您可以在中央位置記錄作業以供稽核和診斷之用。
修補
若要啟用EKS叢集的稽核日誌,請參閱 Amazon EKS 使用者指南中的啟用和停用控制平面日誌。
