修復 Amazon EKS 叢集的暴露

AWS Security Hub 可以產生 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集的公開調查結果。

涉及公開調查結果的 Amazon EKS 叢集及其識別資訊會列在調查結果詳細資訊的資源區段中。您可以在 Security Hub 主控台上擷取這些資源詳細資訊，或使用 Security Hub API GetFindingsV2的操作以程式設計方式擷取這些資源詳細資訊。

識別暴露調查結果中涉及的資源之後，如果不需要，您可以刪除資源。刪除非必要資源可以降低您的暴露設定檔和 AWS 成本。如果資源是必要的，請遵循這些建議的修補步驟，以協助降低風險。修復主題會根據特徵類型進行分割。

單一公開調查結果包含多個修復主題中識別的問題。相反地，您可以解決暴露問題清單，並透過僅解決一個修補主題來降低其嚴重性。您的風險修補方法取決於您的組織需求和工作負載。

注意

本主題提供的修補指引可能需要在其他 AWS 資源中進行額外諮詢。

內容

• Amazon EKS 叢集的錯誤組態特性

  • Amazon EKS 叢集允許公開存取

  • Amazon EKS 叢集使用不支援的 Kubernetes 版本

  • Amazon EKS 叢集使用未加密的 Kubernetes 秘密

• Amazon EKS 叢集的漏洞特徵

  • Amazon EKS 叢集的容器具有網路可攻擊的軟體漏洞，具有高入侵可能性

  • Amazon EKS 叢集具有具有軟體漏洞的容器

Amazon EKS 叢集的錯誤組態特性

以下是 Amazon EKS 叢集的錯誤組態特性和建議的修復步驟。

Amazon EKS 叢集允許公開存取

Amazon EKS 叢集端點是您用來與叢集 Kubernetes API 伺服器通訊的端點。根據預設，此端點對網際網路是公有的。公有端點會增加您的攻擊面區域，以及未經授權存取 Kubernetes API 伺服器的風險，可能允許攻擊者存取或修改叢集資源或存取敏感資料。遵循安全最佳實務， AWS 建議將 EKS 叢集端點的存取限制為僅限必要的 IP 範圍。

修改端點存取

在公開調查結果中，開啟 資源。這會開啟受影響的 Amazon EKS 叢集。您可以設定叢集使用私有存取、公有存取或兩者。透過私有存取，源自叢集 VPC 的 Kubernetes API 請求會使用私有 VPC 端點。透過公有存取，源自叢集 VPC 外部的 Kubernetes API 請求會使用公有端點。

修改或移除叢集的公有存取權

若要修改現有叢集的端點存取，請參閱《Amazon Elastic Kubernetes Service 使用者指南》中的修改叢集端點存取。根據特定 IP 範圍或安全群組實作更嚴格的規則。如果需要有限的公開存取，請限制對特定 CIDR 區塊範圍的存取，或使用字首清單。

Amazon EKS 叢集使用不支援的 Kubernetes 版本

Amazon EKS 在有限的時間內支援每個 Kubernetes 版本。使用不支援的 Kubernetes 版本執行叢集可能會讓您的環境暴露在安全漏洞中，因為 CVE 修補程式將停止針對過期的版本發佈。不支援的版本可能包含攻擊者可能利用的已知安全漏洞，並且缺少較新版本中可用的安全功能。遵循安全最佳實務， AWS 建議將 Kubernetes 版本保持在最新狀態。

更新 Kubernetes 版本

在公開調查結果中，開啟 資源。這會開啟受影響的 Amazon EKS 叢集。更新叢集之前，請參閱《Amazon Elastic Kubernetes Service 使用者指南》中的標準支援可用的版本，以取得目前支援的 Kubernetes 版本清單。

Amazon EKS 叢集使用未加密的 Kubernetes 秘密

根據預設，Kubernetes 秘密會未加密存放在 API 伺服器的基礎資料存放區 （等）。任何具有 API 存取權或具有 等存取權的人都可以擷取或修改秘密。為了避免這種情況，您應該加密靜態 Kubernetes 秘密。如果 Kubernetes Secrets 未加密，則如果 Kubernetes Secrets 洩漏，它們容易受到未經授權的存取。由於秘密通常包含敏感資訊，例如密碼和 API 字符，因此其公開可能導致未經授權存取其他應用程式和資料。遵循安全最佳實務， AWS 建議加密存放在 Kubernetes 秘密中的所有敏感資訊。

加密 Kubernetes 秘密

Amazon EKS 支援使用 KMS 金鑰透過信封加密來加密 Kubernetes 秘密。若要啟用 EKS 叢集的 Kubernetes 秘密加密，請參閱《Amazon EKS 使用者指南》中的在現有叢集上使用 KMS 加密 Kubernetes 秘密。

Amazon EKS 叢集的漏洞特徵

以下是 Amazon EKS 叢集的漏洞特徵。

Amazon EKS 叢集的容器具有網路可攻擊的軟體漏洞，具有高入侵可能性

在 EKS 叢集上安裝的軟體套件可能會公開到常見漏洞與暴露 (CVEs)。關鍵 CVEs對您的 AWS 環境構成重大的安全風險。未經授權的使用者可以利用這些未修補的漏洞來危害資料的機密性、完整性或可用性，或存取其他系統。具有高入侵可能性的關鍵漏洞代表立即的安全威脅，因為攻擊者或自動化掃描工具可能已經公開提供並主動使用入侵程式碼。遵循安全最佳實務， AWS 建議修補這些漏洞，以保護執行個體免受攻擊。

更新受影響的執行個體

將您的容器映像更新為較新版本，其中包含已識別漏洞的安全修正。這通常涉及使用更新的基礎映像或相依性重建容器映像，然後將新映像部署到您的 Amazon EKS 叢集。

Amazon EKS 叢集具有具有軟體漏洞的容器

安裝在 Amazon EKS 叢集上的軟體套件可能會公開到常見漏洞與暴露 (CVEs)。非關鍵 CVEs 代表與關鍵 CVEs 相比，嚴重性或可利用性較低的安全弱點。雖然這些漏洞帶來的風險較低，但攻擊者仍然可以利用這些未修補的漏洞來損害資料的機密性、完整性或可用性，或存取其他系統。遵循安全最佳實務， AWS 建議修補這些漏洞，以保護執行個體免受攻擊。

更新受影響的執行個體

將您的容器映像更新為較新版本，其中包含已識別漏洞的安全修正。這通常涉及使用更新的基礎映像或相依性重建容器映像，然後將新映像部署到您的 Amazon EKS 叢集。