Requisitos previos para la compatibilidad con clústeres de Amazon EKS
Esta sección incluye los requisitos previos para supervisar el comportamiento en tiempo de ejecución de los recursos de Amazon EKS. Estos requisitos previos son cruciales para que el agente GuardDuty funcione como se espera. Una vez cumplidos estos requisitos previos, consulte Habilitar la Supervisión en tiempo de ejecución de GuardDuty para empezar a monitorear los recursos.
Compatibilidad con características de Amazon EKS
Runtime Monitoring admite los clústeres de Amazon EKS que se ejecutan en instancias de Amazon EC2 y en Amazon EKS Auto Mode.
Runtime Monitoring no admite los clústeres de Amazon EKS con los nodos híbridos de Amazon EKS ni los que se ejecutan en AWS Fargate.
Para obtener más información sobre estas características de Amazon EKS, consulte ¿Qué es Amazon EKS? en la Guía del usuario de Amazon EKS.
Validación de los requisitos de arquitectura
La plataforma que utilice puede afectar a la forma en que el agente de seguridad de GuardDuty ayuda a GuardDuty a la hora de recibir los eventos de tiempo de ejecución de sus clústeres de EKS. Debe validar que esté utilizando una de las plataformas verificadas. Si administra el agente de GuardDuty manualmente, asegúrese de que la versión de Kubernetes sea compatible con la versión del agente de GuardDuty que está en uso actualmente.
Plataformas verificadas
La distribución del sistema operativo, la versión del kernel y la arquitectura de la CPU afectan a la compatibilidad que ofrece el agente de seguridad de GuardDuty. La compatibilidad del kernel incluye eBPF, Tracepoints y Kprobe. Para las arquitecturas de CPU, Runtime Monitoring es compatible con AMD64 (x64) y ARM64 (Graviton2 y versiones posteriores)1.
En la siguiente tabla se muestra la configuración verificada para implementar el agente de seguridad de GuardDuty y configurar la supervisión en tiempo de ejecución de EKS.
| Distribución del sistema operativo2 | Versión del kernel3 | Versión de Kubernetes compatible |
|---|---|---|
|
Bottlerocket |
5.4, 5.10, 5.15, 6.14 |
v1.23 - v1.34 |
|
Ubuntu |
5.4, 5.10, 5.15, 6.14 |
v1.21 - v1.34 |
|
Amazon Linux 2 |
5.4, 5.10, 5.15, 6.14 |
v1.21 - v1.34 |
|
Amazon Linux 20235 |
5.4, 5.10, 5.15, 6.14 |
v1.21 - v1.34 |
|
RedHat 9.4 |
5.144 |
v1.21 - v1.34 |
|
Fedora 34 |
5.11, 5.17 |
v1.21 - v1.34 |
|
Fedora 40 |
6.8 |
v1.28 - v1.34 |
|
Fedora 41 |
6.12 |
v1.28 - v1.34 |
|
CentOS Stream 9 |
5.14 |
v1.21 - v1.34 |
-
La Supervisión en tiempo de ejecución para clústeres de Amazon EKS no es compatible con la primera generación de instancias de Graviton, como los tipos de instancia A1.
-
Compatibilidad con varios sistemas operativos: GuardDuty ha verificado que Runtime Monitoring es compatible con la distribución operativa que figura en la tabla anterior. Si bien el agente de seguridad de GuardDuty puede funcionar en sistemas operativos que no figuran en la tabla anterior, el equipo de GuardDuty no puede garantizar el valor de seguridad esperado.
-
Para cualquier versión del kernel, debe establecer el marcador
CONFIG_DEBUG_INFO_BTFeny(que significa verdadero). Esto es necesario para que el agente de seguridad de GuardDuty pueda funcionar como se espera. -
Actualmente, con la versión
6.1del Kernel, GuardDuty no puede generar Tipos de resultados de la supervisión en tiempo de ejecución de GuardDuty relacionados con Eventos del sistema de nombres de dominio (DNS). -
La Supervisión en tiempo de ejecución admite AL2023 con el lanzamiento del agente de seguridad de GuardDuty v1.6.0 y superior. Para obtener más información, consulte Versiones del agente de seguridad GuardDuty para los recursos de Amazon EKS.
Versiones de Kubernetes compatibles con el agente de seguridad de GuardDuty
En la siguiente tabla se muestran las versiones de Kubernetes para los clústeres de EKS compatibles con el agente de seguridad de GuardDuty.
| Versión del agente de seguridad de GuardDuty del complemento de Amazon EKS | Versión de Kubernetes |
|---|---|
|
v1.11.0 (más reciente: v1.11.0-eksbuild.2) |
1.28 - 1.34 |
|
v1.10.0 (más reciente: v1.10.0-eksbuild.2) |
1.21 - 1.33 |
|
v1.9.0 (más reciente: v1.9.0-eksbuild.2) v1.8.1 (más reciente: v1.8.1-eksbuild.2) |
1.21 - 1.32 |
|
v1.7.1 v1.7.0 v1.6.1 |
1.21 - 1.31 |
|
Versión 1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1 |
1.21 - 1.29 |
|
v1.3.0 v1.2.0 |
1.21 - 1.28 |
|
v1.1.0 |
1.21 - 1.26 |
|
v1.0.0 |
1.21 - 1.25 |
Algunas de las versiones del agente de seguridad de GuardDuty llegarán al final del soporte estándar.
Para obtener información sobre las versiones de lanzamiento del agente, consulte Versiones del agente de seguridad GuardDuty para los recursos de Amazon EKS.
Límites de CPU y memoria
En la siguiente tabla se muestran los límites de CPU y memoria del complemento de Amazon EKS para GuardDuty (aws-guardduty-agent).
| Parámetro | Límite mínimo | Límite máximo |
|---|---|---|
CPU |
200m |
1000m |
Memoria |
256 Mi |
1024 Mi |
Cuando utiliza el complemento Amazon EKS versión 1.5.0 o superior, GuardDuty brinda la capacidad de configurar el esquema del complemento para los valores de CPU y memoria. Para obtener información sobre el rango configurable, consulte Parámetros y valores que se pueden configurar.
Después de habilitar la supervisión en tiempo de ejecución de EKS y evaluar el estado de la cobertura de sus clústeres de EKS, podrá configurar y ver las métricas de información de los contenedores. Para obtener más información, consulte Configuración de la supervisión de la CPU y la memoria.
Validar la política de control de servicios de la organización
Si ha configurado una política de control de servicio (SCP) para administrar los permisos en la organización, valide que el límite de permisos no restrinja guardduty:SendSecurityTelemetry. Se necesita para que GuardDuty admita la Supervisión en tiempo de ejecución en diferentes tipos de recursos.
Si es una cuenta de miembro, contacte al administrador delegado asociado. Para obtener información sobre cómo administrar SCP para la organización, consulte Políticas de control de servicios (SCP).
