帮助改进此页面
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。
分析 Amazon EKS 中的漏洞
安全性是配置和维护 Kubernetes 集群和应用程序的重要注意事项。下方列出了供您分析 EKS 集群安全配置的资源、用于检查漏洞的资源,以及可为您执行该分析的 Amazon 服务的集成。
适用于 Amazon EKS 的互联网安全中心(CIS)基准
Center for Internet Security(CIS)Kubernetes 基准
-
适用于 Amazon EC2 节点(托管和自我管理),您在其中负责 Kubernetes 组件的安全配置。
-
提供了一种社区批准的标准方法,以确保您在使用 Amazon EKS 时已安全地配置了 Kubernetes 集群和节点。
-
由四个部分组成:控制层面日志记录配置、节点安全配置、策略和托管服务。
-
支持 Amazon EKS 中当前提供的所有 Kubernetes 版本,并且可以使用 kube-bench
(一个用于在 Kubernetes 集群上使用 CIS 基准检查配置的标准开源工具)运行。
要了解更多信息,请参阅 CIS Amazon EKS 基准简介
有关使用 CIS 基准 AMI 更新节点组的自动 aws-sample
管道,请参阅 EKS-Optimized AMI Hardening Pipeline
Amazon EKS 平台版本
Amazon EKS 平台版本表示集群控制面板的功能,包括启用哪些 Kubernetes API 服务器标志和当前的 Kubernetes 补丁版本。使用最新平台版本部署新集群。有关详细信息,请参阅 eks/latest/userguide/platform-versions.html[EKS platform-versions,type="documentation"]。
您可以将 Amazon EKS 集群更新到更新的 Kubernetes 版本。随着新 Kubernetes 版本在 Amazon EKS 中提供,我们建议您主动将集群更新为使用最新的可用版本。有关 EKS 中 Kubernetes 版本的更多信息,请参阅 eks/latest/userguide/kubernetes-versions.html[Amazon EKS supported versions,type="documentation"]。
操作系统漏洞列表
AL2023 漏洞列表
在 Amazon Linux 安全中心
Amazon Linux 2 漏洞列表
在 Amazon Linux 安全中心
使用 Amazon Inspector 进行节点检测
您可以使用 Amazon Inspector 来检查节点的意外网络访问和这些 Amazon EC2 实例上的漏洞。
使用 Amazon GuardDuty 进行集群和节点检测
Amazon GuardDuty 是一项威胁检测服务,有助于保护您的账户、容器、工作负载和 Amazon 环境中的数据。除其他功能外,GuardDuty 还提供以下两项功能,用于检测 EKS 集群面临的潜在威胁:EKS 保护和运行时监控。
有关更多信息,请参阅 使用 Amazon GuardDuty 检测威胁。