运行时监控如何与 Amazon EKS 集群结合使用 - Amazon GuardDuty
在 Amazon EKS 集群中管理 GuardDuty安全代理的方法
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

运行时监控如何与 Amazon EKS 集群结合使用

运行时监控使用 E KS 附加组件 aws-guardduty-agent,也称为 GuardDuty 安全代理。在 EKS 集群上部署 GuardDuty安全代理后, GuardDuty 将能够接收这些 EKS 集群的运行时事件。

备注

运行时监控支持在亚马逊 EC2 实例上运行的 Amazon EKS 集群和亚马逊 EKS 自动模式。

运行时监控不支持带有 Amazon EKS 混合节点的 Amazon EKS 集群以及正在运行的集群 Amazon Fargate。

有关这些 Amazon EKS 功能的信息,请参阅什么是亚马逊 EKS?Amazon EKS 用户指南中。

您可以在账户或集群级别监控 Amazon EKS 集群的运行时事件。您只能为要进行威胁检测监控的 Amazon EKS 集群管理 GuardDuty 安全代理。您可以手动管理 GuardDuty 安全代理,也可以使用自动代理配置 GuardDuty 来允许代表您进行管理。

如果您使用自动代理配置方法 GuardDuty 来允许代表您管理安全代理的部署,则将自动创建一个Amazon Virtual Private Cloud(Amazon VPC)端点。安全代理使用此 Amazon VPC 端点将 GuardDuty 运行时事件传送到。

除该 VPC 端点外, GuardDuty 还会创建一个新的安全组。入站(入口)规则负责控制被允许达到与该安全组关联的资源的流量。 GuardDuty 添加与资源的 VPC CIDR 范围相匹配的入站规则,并且还会在 CIDR 范围发生变化时对规则进行调整。有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC CIDR 范围

备注

  • 使用 VPC 端点不会产生额外的成本。

  • 将集中式 VPC 与自动代理结合使用:当您对某个资源类型使用 GuardDuty 自动代理配置时, GuardDuty 将代表您为所有资源类型创建一个 VPC 端点 VPCs。这包括集中式 VPC 和分支 VPC VPCs。 GuardDuty 不支持仅为集中式 VPC 创建 VPC 端点。有关集中式 VPC 工作原理的更多信息,请参阅《Amazon 白皮书:构建可扩展且安全的多 VPC Amazon 网络基础设施》中的 Inter face VPC endpoin ts。

在 Amazon EKS 集群中管理 GuardDuty安全代理的方法

在 2023 年 9 月 13 日之前,您可以配置 GuardDuty 为在账户级别管理安全代理。此行为表明,默认情况下, GuardDuty 将管理属于的所有 EKS 集群上的安全代理 Amazon Web Services 账户。现在, GuardDuty 提供了一种细粒度功能,可以帮助您选择 GuardDuty 要在其中管理安全代理的 EKS 集群。

选择 手动管理 GuardDuty 安全代理 后,您仍然可以选择要监控的 EKS 集群。但是,要手动管理代理,必须先为您 Amazon Web Services 账户 的创建 Amazon VPC 端点。

注意

无论您使用何种方法管理 GuardDuty 安全代理,都会在账户级别启用 EKS 运行时监控。

通过管理安全代理 GuardDuty

GuardDuty 代表您部署和管理安全代理。在任何时候,您都可以使用以下方法之一监控账户中的 EKS 集群。

监控所有 EKS 集群

如果您 GuardDuty 想为账户中的所有 EKS 集群部署和管理安全代理,请使用此方法。默认情况下,还 GuardDuty 会在您的账户中创建的潜在新 EKS 集群上部署安全代理。

使用此方法的影响

  • GuardDuty 创建一个 Amazon Virtual Private Cloud(Amazon VPC)端点, GuardDuty 安全代理通过该端点将运行时事件传递到 GuardDuty。当您通过管理安全代理时,创建 Amazon VPC 端点不会产生额外费用 GuardDuty。

  • 您的 Worker 节点必须具有到活动 guardduty-data VPC 端点的有效网络路径。 GuardDuty 在 EKS 集群上部署安全代理。Amazon Elastic Kubernetes Service(Amazon EKS)将协调 EKS 集群内节点上安全代理的部署。

  • 根据 IP 可用性, GuardDuty 选择子网来创建 VPC 端点。如果您使用高级网络拓扑,则必须验证连接是否可行。

排除选定的 EKS 集群

如果您 GuardDuty 要管理账户中所有 EKS 集群的安全代理,但排除选定的 EKS 集群,请使用此方法。此方法使用基于标签 1 的方法,在这种方法中,您可以标记不希望接收运行时事件的 EKS 集群。预定义标签必须以 GuardDutyManaged-false 作为键值对。

使用此方法的影响

此方法要求您只有在为希望排除监控的 EKS 集群添加标签后,才能启用 GuardDuty 代理自动管理。

因此,当 通过管理安全代理 GuardDuty 适用于此方法时,也会产生影响。当您在启用 GuardDuty 代理自动管理之前添加标签时,既 GuardDuty 不会部署也不会管理从监控中排除的 EKS 集群的安全代理。

注意事项

  • 在启用自动代理配置之前,您必须false为选定的 EKS 集群添加标签键值对GuardDutyManaged:否则,在使用标签之前,将在所有 EKS 集群上部署 GuardDuty 安全代理。

  • 您必须防止标签被修改,除非由可信身份修改。

    重要

    使用服务控制策略或 IAM policy 管理修改 EKS 集群 GuardDutyManaged 标签值的权限。有关更多信息,请参阅用户指南中的服务控制策略 (SCPs)IAM Amazon Organizations 用户指南中的控制 Amazon 资源访问权限

  • 对于您不想监控的潜在新 EKS 集群,请确保在创建此 EKS 集群时添加 GuardDutyManaged-false 键值对。

  • 此方法的注意事项与 监控所有 EKS 集群 的注意事项相同。

包含选定的 EKS 集群

如果您仅 GuardDuty 想为账户中的选定 EKS 集群部署和管理安全代理的更新,请使用此方法。此方法使用基于标签 1 的方法,在这种方法中,您可以标记要接收运行时事件的 EKS 集群。

使用此方法的影响

  • 通过使用包含标签, GuardDuty 将仅为使用 GuardDutyManaged-true 作为键值对标记的选择性 EKS 集群自动部署和管理安全代理。

  • 使用此方法的影响与 监控所有 EKS 集群 的影响相同。

注意事项

  • 如果 GuardDutyManaged 标签的值未设置为 true,则包含标签将无法按预期工作,这可能会影响对您的 EKS 集群的监控。

  • 为确保监控您选择性 EKS 集群,您需要防止标签被修改,除非由可信身份进行修改。

    重要

    使用服务控制策略或 IAM policy 管理修改 EKS 集群 GuardDutyManaged 标签值的权限。有关更多信息,请参阅用户指南中的服务控制策略 (SCPs)IAM Amazon Organizations 用户指南中的控制 Amazon 资源访问权限

  • 对于您不想监控的潜在新 EKS 集群,请确保在创建此 EKS 集群时添加 GuardDutyManaged-false 键值对。

  • 此方法的注意事项与 监控所有 EKS 集群 的注意事项相同。

1 有关标记选择性 EKS 集群的更多信息,请参阅《Amazon EKS 用户指南》中的标记 Amazon EKS 资源

手动管理 GuardDuty 安全代理

如果您希望在所有 EKS 集群上手动部署和管理 GuardDuty 安全代理,请使用此方法。确保为您的账户启用 EKS 运行时监控。如果不启用 EKS 运行时监控, GuardDuty安全代理可能无法按预期工作。

使用此方法的影响

您需要在所有可使用此功能的账户和中,协调 EKS 集群内 GuardDuty 安全代理 Amazon Web Services 区域 的部署。发布代理 GuardDuty 版本时,您还需要进行更新。有关适用于 EKS 的代理版本的更多信息,请参阅GuardDuty 适用于 Amazon EKS 资源的安全代理版本

注意事项

随着新集群和工作负载的持续部署,您必须在监控和解决覆盖率缺口的同时,支持安全的数据流。