Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Behebung von Risiken für Amazon EKS-Cluster
AWSSecurity Hub kann Risikopergebnisse für Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster generieren.
Der Amazon EKS-Cluster, der an einer Risikofeststellung beteiligt war, und seine identifizierenden Informationen sind im Abschnitt Ressourcen der Ergebnisdetails aufgeführt. Sie können diese Ressourcendetails auf der Security Hub-Konsole oder programmgesteuert mithilfe der GetFindingsV2Security Hub CSPM-API abrufen.
Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.
Ein einziger Risikobefund umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.
Anmerkung
Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS
Inhalt
Fehlkonfigurationsmerkmale für Amazon EKS-Cluster
Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für Amazon EKS-Cluster und empfohlene Schritte zur Behebung.
Der Amazon EKS-Cluster ermöglicht öffentlichen Zugriff
Der Amazon EKS-Cluster-Endpunkt ist der Endpunkt, den Sie für die Kommunikation mit dem Kubernetes-API-Server Ihres Clusters verwenden. Standardmäßig ist dieser Endpunkt im Internet öffentlich zugänglich. Öffentliche Endpunkte erhöhen Ihre Angriffsfläche und erhöhen das Risiko eines unbefugten Zugriffs auf Ihren Kubernetes-API-Server, sodass Angreifer möglicherweise auf Cluster-Ressourcen zugreifen oder diese ändern oder auf sensible Daten zugreifen können. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es sich, den Zugriff auf Ihren EKS-Cluster-Endpunkt auf die erforderlichen IP-Bereiche zu beschränken.
Ändern Sie den Endpunktzugriff
Öffnen Sie im Expositionsnachweis die Ressource. Dadurch wird der betroffene Amazon EKS-Cluster geöffnet. Sie können Ihren Cluster so konfigurieren, dass er privaten Zugriff, öffentlichen Zugriff oder beides verwendet. Bei privatem Zugriff verwenden Kubernetes-API-Anfragen, die ihren Ursprung in der VPC Ihres Clusters haben, den privaten VPC-Endpunkt. Beim öffentlichen Zugriff verwenden Kubernetes-API-Anfragen, die von außerhalb der VPC Ihres Clusters stammen, den öffentlichen Endpunkt.
Ändern oder entfernen Sie den öffentlichen Zugriff auf den Cluster
Informationen zum Ändern des Endpunktzugriffs für einen vorhandenen Cluster finden Sie unter Ändern des Cluster-Endpunktzugriffs im Amazon Elastic Kubernetes Service Service-Benutzerhandbuch. Implementieren Sie restriktivere Regeln, die auf bestimmten IP-Bereichen oder Sicherheitsgruppen basieren. Wenn ein eingeschränkter öffentlicher Zugriff erforderlich ist, beschränken Sie den Zugriff auf bestimmte CIDR-Blockbereiche oder verwenden Sie Präfixlisten.
Der Amazon EKS-Cluster verwendet eine nicht unterstützte Kubernetes-Version
Amazon EKS unterstützt jede Kubernetes-Version für einen begrenzten Zeitraum. Das Ausführen von Clustern mit nicht unterstützten Kubernetes-Versionen kann Ihre Umgebung Sicherheitslücken aussetzen, da CVE-Patches nicht mehr für veraltete Versionen veröffentlicht werden. Nicht unterstützte Versionen können bekannte Sicherheitslücken enthalten, die von Angreifern ausgenutzt werden können, und es fehlen Sicherheitsfunktionen, die möglicherweise in neueren Versionen verfügbar sind. Es wird AWS empfohlen, Ihre Kubernetes-Version stets auf dem neuesten Stand zu halten.
Kubernetes-Version aktualisieren
Öffnen Sie in der Risikoprüfung die Ressource. Dadurch wird der betroffene Amazon EKS-Cluster geöffnet. Bevor Sie Ihren Cluster aktualisieren, finden Sie unter Verfügbare Versionen mit Standardunterstützung im Amazon Elastic Kubernetes Service User Guide eine Liste der aktuell unterstützten Kubernetes-Versionen.
Der Amazon EKS-Cluster verwendet unverschlüsselte Kubernetes-Geheimnisse.
Kubernetes-Geheimnisse werden standardmäßig unverschlüsselt im dem API-Server zugrunde liegenden Datenspeicher (etcd) gespeichert. Jeder mit API-Zugriff oder Zugriff auf etcd kann ein Geheimnis abrufen oder ändern. Um dies zu verhindern, sollten Sie ruhende Kubernetes-Geheimnisse verschlüsseln. Wenn Kubernetes Secrets unverschlüsselt sind, sind sie anfällig für unbefugten Zugriff, falls etcd kompromittiert wird. Da Secrets häufig sensible Informationen wie Passwörter und API-Token enthalten, kann ihre Offenlegung zu unberechtigtem Zugriff auf andere Anwendungen und Daten führen. Es wird AWS empfohlen, alle vertraulichen Informationen, die in Kubernetes-Geheimnissen gespeichert sind, zu verschlüsseln.
Verschlüsseln Sie Kubernetes-Geheimnisse
Amazon EKS unterstützt die Verschlüsselung von Kubernetes-Geheimnissen mithilfe von KMS-Schlüsseln durch Envelope-Verschlüsselung. Informationen zum Aktivieren der Verschlüsselung von Kubernetes-Geheimnissen für Ihren EKS-Cluster finden Sie unter Verschlüsseln von Kubernetes-Geheimnissen mit KMS auf vorhandenen Clustern im Amazon EKS-Benutzerhandbuch.
Merkmale der Sicherheitslücke für Amazon EKS-Cluster
Hier sind die Schwachstellenmerkmale für Amazon EKS-Cluster.
Der Amazon EKS-Cluster verfügt über einen Container mit Softwareschwachstellen, die über das Netzwerk ausgenutzt werden können und deren Ausnutzung sehr wahrscheinlich ist.
Softwarepakete, die auf EKS-Clustern installiert sind, können häufig auftretenden Sicherheitslücken () ausgesetzt sein. CVEs Kritische CVEs Geräte stellen erhebliche Sicherheitsrisiken für Ihre AWS Umgebung dar. Unbefugte Benutzer können diese ungepatchten Sicherheitslücken ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Kritische Sicherheitslücken mit hoher Wahrscheinlichkeit stellen unmittelbare Sicherheitsbedrohungen dar, da Exploit-Code möglicherweise bereits öffentlich verfügbar ist und von Angreifern oder automatisierten Scan-Tools aktiv genutzt wird. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, diese Sicherheitslücken zu patchen, um Ihre Instance vor Angriffen zu schützen.
Aktualisieren Sie die betroffenen Instanzen
Aktualisieren Sie Ihre Container-Images auf neuere Versionen, die Sicherheitsupdates für die identifizierten Sicherheitslücken enthalten. Dies beinhaltet in der Regel die Neuerstellung Ihrer Container-Images mit aktualisierten Basis-Images oder Abhängigkeiten und die anschließende Bereitstellung der neuen Images in Ihrem Amazon EKS-Cluster.
Der Amazon EKS-Cluster hat einen Container mit Softwareschwachstellen
Softwarepakete, die auf Amazon EKS-Clustern installiert sind, können Common Vulnerabilities and Exposures (CVEs) ausgesetzt sein. Bei nicht kritischen Sicherheitslücken CVEs handelt es sich um Sicherheitslücken mit geringerem Schweregrad oder geringerer Ausnutzbarkeit als kritische. CVEs Diese Sicherheitslücken stellen zwar ein geringeres unmittelbares Risiko dar, aber Angreifer können diese ungepatchten Sicherheitslücken dennoch ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, diese Sicherheitslücken zu patchen, um Ihre Instance vor Angriffen zu schützen.
Aktualisieren Sie die betroffenen Instanzen
Aktualisieren Sie Ihre Container-Images auf neuere Versionen, die Sicherheitsupdates für die identifizierten Sicherheitslücken enthalten. Dies beinhaltet in der Regel die Neuerstellung Ihrer Container-Images mit aktualisierten Basis-Images oder Abhängigkeiten und die anschließende Bereitstellung der neuen Images in Ihrem Amazon EKS-Cluster.
Der Amazon EKS-Cluster hat einen Container mit einem End-Of-Life Betriebssystem
Das Amazon EKS-Container-Image basiert auf einem end-of-life Betriebssystem, das vom ursprünglichen Entwickler nicht mehr unterstützt oder verwaltet wird. Dadurch ist der Container Sicherheitslücken und potenziellen Angriffen ausgesetzt. Wenn Betriebssysteme verfügbar sind end-of-life, stellen die Anbieter in der Regel die Veröffentlichung neuer Sicherheitsempfehlungen ein. Bestehende Sicherheitsempfehlungen können auch aus den Feeds der Anbieter entfernt werden. Infolgedessen könnte Amazon Inspector möglicherweise die Generierung von Ergebnissen für bekannte Daten einstellen CVEs, was zu weiteren Sicherheitslücken führen würde.
Informationen zu Betriebssystemen, deren Lebensdauer abgelaufen ist und die von Amazon Inspector erkannt werden können, finden Sie im Amazon Inspector Inspector-Benutzerhandbuch unter Nicht mehr erhältliche Betriebssysteme.
Aktualisieren Sie auf eine unterstützte Betriebssystemversion
Wir empfehlen, auf eine unterstützte Version des Betriebssystems zu aktualisieren. Öffnen Sie im Expositionsnachweis die Ressource, um auf die betroffene Ressource zuzugreifen. Bevor Sie die Betriebssystemversion in Ihrem Container-Image aktualisieren, finden Sie unter Unterstützte Betriebssysteme im Amazon Inspector Inspector-Benutzerhandbuch die verfügbaren Versionen. Dort finden Sie eine Liste der derzeit unterstützten Betriebssystemversionen. Nachdem Sie Ihr Container-Image aktualisiert haben, erstellen Sie Ihre Container neu und stellen Sie sie erneut im Amazon EKS-Cluster bereit.
Der Amazon EKS-Cluster hat einen Container mit bösartigen Softwarepaketen
Bösartige Pakete sind Softwarekomponenten, die schädlichen Code enthalten, der die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Daten gefährden soll. Bösartige Pakete stellen eine aktive und kritische Bedrohung für Ihren Amazon EKS-Cluster dar, da Angreifer bösartigen Code automatisch ausführen können, ohne eine Sicherheitslücke auszunutzen. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, bösartige Pakete zu entfernen, um Ihren Cluster vor potenziellen Angriffen zu schützen.
Entfernen Sie bösartige Pakete
Sehen Sie sich die Informationen zu den bösartigen Paketen im Abschnitt Referenzen auf der Registerkarte Sicherheitslücke der betreffenden Eigenschaft an, um die Bedrohung zu verstehen. Entfernen Sie die identifizierten bösartigen Pakete aus Ihren Container-Images. Löschen Sie anschließend die Pods mit dem kompromittierten Image. Aktualisieren Sie Ihre Kubernetes-Bereitstellungen, um die aktualisierten Container-Images zu verwenden. Stellen Sie dann Ihre Änderungen bereit und stellen Sie Ihre Pods erneut bereit.
Der EKS-Cluster enthält schädliche Dateien
Bösartige Dateien enthalten schädlichen Code, der die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Daten gefährden soll. Bösartige Dateien stellen eine aktive und kritische Bedrohung für Ihren Cluster dar, da Angreifer bösartigen Code automatisch ausführen können, ohne eine Sicherheitslücke auszunutzen. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es, schädliche Dateien zu entfernen, um Ihren Cluster vor potenziellen Angriffen zu schützen.
Entfernen Sie bösartige Dateien
Informationen zur Identifizierung des spezifischen Amazon Elastic Block Store (Amazon EBS) -Volumes, das schädliche Dateien enthält, finden Sie im Abschnitt Ressourcen in den Funddetails des Merkmals. Sobald Sie das Volume mit der schädlichen Datei identifiziert haben, entfernen Sie die identifizierten schädlichen Dateien. Nachdem Sie die schädlichen Dateien entfernt haben, sollten Sie einen Scan durchführen, um sicherzustellen, dass alle Dateien, die möglicherweise durch die schädliche Datei installiert wurden, entfernt wurden. Weitere Informationen finden Sie unter Starten des On-Demand-Malware-Scans GuardDuty in der.
