Analyse von Schwachstellen in Amazon EKS - Amazon EKS
Der Center for Internet Security (CIS)-Benchmark für Amazon EKSAmazon-EKS-PlattformversionenListe der Betriebssystem-SchwachstellenKnoten-Erkennung mit Amazon InspectorCluster- und Knoten-Erkennung mit Amazon GuardDuty

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Analyse von Schwachstellen in Amazon EKS

Sicherheit ist ein wichtiger Aspekt bei der Konfiguration und Wartung von Kubernetes-Clustern und -Anwendungen. Nachfolgend finden Sie Ressourcen zur Analyse der Sicherheitskonfiguration Ihrer EKS-Cluster, Ressourcen zur Überprüfung auf Schwachstellen sowie Integrationen mit AWS-Services, die diese Analyse für Sie durchführen.

Der Center for Internet Security (CIS)-Benchmark für Amazon EKS

Der Kubernetes Benchmark des Center for Internet Security (CIS) bietet Anleitungen für Amazon-EKS-Sicherheitskonfigurationen. Die Benchmark:

  • Gilt für Amazon EC2-Knoten (sowohl verwaltete als auch selbstverwaltete), bei denen Sie für die Sicherheitskonfigurationen von Kubernetes-Komponenten verantwortlich sind.

  • Bietet eine von der Community genehmigte Standardmethode, um sicherzustellen, dass Sie Ihren Kubernetes-Cluster und Ihre Knoten sicher konfiguriert haben, wenn Sie Amazon EKS verwenden.

  • Besteht aus vier Abschnitten; Protokollierungskonfiguration der Steuerebene, Knotensicherheitskonfigurationen, Richtlinien und verwaltete Services.

  • Unterstützt alle Kubernetes-Versionen, die derzeit in Amazon EKS verfügbar sind und können mitkube-bench, ein Standard-Open-Source-Tool zur Überprüfung der Konfiguration mit dem CIS-Benchmark auf Kubernetes-Clustern.

Weitere Informationen hierzu finden Sie unterEinführung des CIS Amazon EKS Benchmarkaus.

Eine automatisierte aws-sample-Pipeline zur Aktualisierung Ihrer Knotengruppe mit einer CIS-geprüften AMI finden Sie unter EKS-optimierte AMI-Hardening-Pipeline.

Amazon-EKS-Plattformversionen

Amazon-EKS-Plattformversionen definieren die Funktionalitäten der Cluster-Steuerebene (z. B. welche Kubernetes-API-Server-Flags aktiviert sind) sowie die aktuelle Kubernetes-Patch-Version. Neue Cluster werden mit der neuesten Plattformversion bereitgestellt. Weitere Details finden Sie unter EKS-Plattformversionen.

Sie können einen Amazon EKS-Cluster auf neuere Kubernetes-Versionen aktualisieren. Wenn neue Kubernetes-Versionen in Amazon EKS verfügbar werden, empfehlen wir Ihnen, Ihre Cluster proaktiv auf die neueste verfügbare Version zu aktualisieren. Weitere Informationen zu den Kubernetes-Versionen in EKS finden Sie unter Von Amazon EKS unterstützte Versionen.

Liste der Betriebssystem-Schwachstellen

AL2023-Schwachstellenliste

Sie können Sicherheits- oder Datenschutzereignisse für Amazon Linux 2023 im Amazon Linux-Sicherheitszentrum verfolgen oder den zugehörigen RSS-Feed abonnieren. Sicherheits- und Datenschutzereignisse enthalten eine Übersicht über das Problem sowie Pakete und Anweisungen zum Aktualisieren Ihrer Instances, um das Problem zu beheben.

Schwachstellenliste für Amazon Linux 2

Sie können Sicherheits- oder Datenschutzereignisse für Amazon Linux 2 im Amazon Linux-Sicherheitszentrum verfolgen oder den zugehörigen RSS-Feed abonnieren. Sicherheits- und Datenschutzereignisse enthalten eine Übersicht über das Problem sowie Pakete und Anweisungen zum Aktualisieren Ihrer Instances, um das Problem zu beheben.

Knoten-Erkennung mit Amazon Inspector

Mit Amazon Inspector können Sie eine Prüfung auf nicht gewünschte Netzwerkzugänglichkeit Ihrer Arbeitsknoten und auf Schwachstellen auf diesen Amazon-EC2-Instances vornehmen.

Cluster- und Knoten-Erkennung mit Amazon GuardDuty

Der Amazon GuardDuty-Service zur Erkennung von Bedrohungen unterstützt Sie beim Schutz Ihrer Konten, Container, Workloads und Daten in Ihrer AWS-Umgebung. Neben anderen Features bietet GuardDuty die folgenden zwei Features, die potenzielle Bedrohungen für Ihre EKS-Cluster erkennen: EKS-Schutz und Laufzeit-Überwachung.

Weitere Informationen finden Sie unter Bedrohungen mit Amazon GuardDuty erkennen.