适用于亚马逊的 Security Hub 控件 EKS - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于亚马逊的 Security Hub 控件 EKS

这些 Security Hub 控件用于评估亚马逊 Elastic Kubernetes 服务(EKS亚马逊)的服务和资源。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[EKS.1] 不应公开访问EKS集群终端节点

相关要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、 NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7、(16)、 NIST.800-53.r5 SC-7 (20)、 NIST.800-53.r5 SC-7 (21)、 NIST.800-53.r5 SC-7 (3)、 NIST.800-53.r5 SC-7 (4)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、PCI DSS v4.0.1/1.4.4

类别:保护 > 安全网络配置 > 不公开访问的资源

严重性:

资源类型:AWS::EKS::Cluster

Amazon Config 规则:eks-endpoint-no-public-access

计划类型:定期

参数:

此控件检查 Amazon EKS 集群终端节点是否可公开访问。如果EKS集群具有可公开访问的终端节点,则控制失败。

当您创建新集群时,Amazon EKS 会为托管 Kubernetes API 服务器创建一个终端节点,用于与集群进行通信。默认情况下,此API服务器端点可在互联网上公开使用。使用 Amazon Identity and Access Management (IAM) 和原生 Kubernetes 基于角色的访问控制 () 的组合来保护对API服务器的访问。RBAC通过移除对端点的公共访问权限,您可以避免意外暴露和访问集群。

修复

要修改现有EKS集群的终端节点访问权限,请参阅 Amazon EKS 用户指南中的修改集群终端节点访问权限。您可以在创建新EKS集群时为其设置终端节点访问权限。有关创建新 Amazon EKS 集群的说明,请参阅亚马逊EKS用户指南中的创建亚马逊EKS群。

[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行

相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2、.800-53.r5 SI-2、.800-53.r5 SI-2 (2)、NIST .800-53.r5 SI-2 (4)、.800-53.r5 SI-2 (5)、NIST v4.0.1/12.3.4 NIST NIST PCI DSS

类别:识别 > 漏洞、补丁和版本管理

严重性:

资源类型:AWS::EKS::Cluster

Amazon Config 规则:eks-cluster-supported-version

计划类型:已触发变更

参数:

  • oldestVersionSupported1.29(不可自定义)

此控件检查亚马逊 Elastic Kubernetes Service(EKS亚马逊)集群是否在支持的 Kubernetes 版本上运行。如果EKS集群在不支持的版本上运行,则控制失败。

如果您的应用程序不需要特定版本的 Kubernetes,我们建议您使用集群支持的最新可用的 Kubernetes 版本。EKS有关更多信息,请参阅 Amazon EKS Kubernetes 发布日历和亚马逊EKS版本支持FAQ,以及亚马逊EKS用户指南。

修复

要更新EKS集群,请在亚马逊用户指南中更新亚马逊EKS集群 Kubernetes 版本。EKS

[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥

相关要求: NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-1 2、 NIST.800-53.r5 SC-1 3、NIST .800-53.r5 SI-28、v4.0.1/8.3.2 PCI DSS

类别:保护 > 数据保护 > 加密 data-at-rest

严重性:

资源类型:AWS::EKS::Cluster

Amazon Config 规则:eks-cluster-secrets-encrypted

计划类型:定期

参数:

此控件用于检查 Amazon EKS 集群是否使用加密的 Kubernetes 密钥。如果集群的 Kubernetes 密钥未加密,则此控件将失败。

加密密钥时,可以使用 Amazon Key Management Service (Amazon KMS) 密钥为集群提供存储在 etcd 中的 Kubernetes 密钥的信封加密。这种加密是对作为EKS集群一部分存储在 etcd 中的所有数据(包括机密)默认启用的EBS卷加密的补充。对EKS集群使用密钥加密允许您使用您定义和管理的密钥对 Kubernetes 密钥进行加密,从而为 Kubernetes 应用程序部署深度防御策略。KMS

修复

要在EKS集群上启用密钥加密,请参阅 Amazon EKS 用户指南中的在现有集群上启用秘密加密。

[EKS.6] 应EKS标记集群

类别:识别 > 清单 > 标记

严重性:

资源类型:Amazon::EKS::Cluster

Amazon Config规则:tagged-eks-cluster(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 Type 允许的自定义值 Security Hub 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 StringList 符合 Amazon 要求的标签列表 无默认值

此控件检查 Amazon EKS 集群是否具有参数中定义的特定密钥的标签requiredTagKeys。如果集群没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果集群未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 Amazon 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 Amazon? 在《IAM用户指南》中。

注意

不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services 服务,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签Amazon Web Services 一般参考

修复

要向EKS集群添加标签,请参阅《亚马逊EKS用户指南》中的为你的亚马逊EKS资源添加标签。

[EKS.7] 应EKS标记身份提供商配置

类别:识别 > 清单 > 标记

严重性:

资源类型:Amazon::EKS::IdentityProviderConfig

Amazon Config规则:tagged-eks-identityproviderconfig(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

参数 描述 Type 允许的自定义值 Security Hub 默认值
requiredTagKeys 被评估资源必须包含的非系统标签键列表。标签键区分大小写。 StringList 符合 Amazon 要求的标签列表 无默认值

此控件检查 Amazon EKS 身份提供商配置是否具有参数中定义的特定密钥的标签requiredTagKeys。如果配置没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果配置未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,它根据标签定义权限。您可以为IAM实体(用户或角色)和 Amazon 资源附加标签。您可以为IAM委托人创建单个ABAC策略或一组单独的策略。您可以将这些ABAC策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅有什么ABAC用 Amazon? 在《IAM用户指南》中。

注意

不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services 服务,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签Amazon Web Services 一般参考

修复

要向EKS身份提供商配置添加标签,请参阅《亚马逊EKS用户指南》中的为您的亚马逊EKS资源添加标签。

[EKS.8] EKS 集群应启用审核日志

相关要求: NIST.800-53.r5 AC-2(12)、(4)、(26)、 NIST.800-53.r5 AC-2 (9)、(9)、 NIST.800-53.r5 AC-4 .800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8)、 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 .800-53.r5 SI-4、NIST .800-53.r5 SI-4 (20)、.800-53.r5 SI-4 (20)、NIST .800-53.r5 SI-7 (8)、v4.0.1/10.2.1 NIST.800-53.r5 SC-7 NIST NIST PCI DSS

类别:识别 > 日志记录

严重性:

资源类型:AWS::EKS::Cluster

Amazon Config 规则:eks-cluster-log-enabled

计划类型:已触发变更

参数:

  • logTypes: audit(不可自定义)

此控件检查 Amazon EKS 集群是否启用了审核日志。如果没有为集群启用审核日志记录,则控制失败。

注意

此控件不检查是否已通过 Amazon Security Lake 为该启用亚马逊EKS审核日志 Amazon Web Services 账户。

EKS控制平面日志记录可直接从EKS控制平面向账户中的 Amazon CloudWatch Logs 提供审计和诊断日志。您可以选择所需的日志类型,日志将作为日志流发送到中每个EKS集群的组 CloudWatch。通过日志记录,可以查看EKS集群的访问和性能。通过将EKS集群的EKS控制平面CloudWatch 日志发送到日志,您可以在中心位置记录用于审计和诊断目的的操作。

修复

要为您的EKS集群启用审核日志,请参阅 Amazon EKS 用户指南中的启用和禁用控制平面日志