Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Remediación de exposiciones para clústeres de Amazon EKS
AWSSecurity Hub puede generar resultados de exposición para los clústeres de Amazon Elastic Kubernetes Service (Amazon EKS).
El clúster de Amazon EKS involucrado en un resultado de exposición y su información de identificación aparecen en la sección Recursos de los detalles del resultado. Puede recuperar estos detalles de los recursos en la consola de Security Hub o mediante programación con el GetFindingsV2funcionamiento de la API CSPM de Security Hub.
Después de identificar el recurso involucrado en un resultado de exposición, puede eliminar el recurso si no lo necesita. Eliminar un recurso no esencial puede reducir su perfil de exposición y sus costes. AWS Si el recurso es esencial, siga estos pasos de remediación recomendados para ayudar a mitigar el riesgo. Los temas de remediación se dividen según el tipo de condición.
Un único resultado de exposición puede incluir problemas identificados en varios temas de remediación. También es posible abordar un resultado de exposición y disminuir su nivel de gravedad con solo tratar uno de los temas de remediación. El enfoque de remediación adecuado depende de los requisitos y cargas de trabajo de la organización.
nota
La guía de remediación que se proporciona en este tema puede requerir consultas adicionales en otros AWS recursos.
Contenido
Condiciones de configuración incorrecta para clústeres de Amazon EKS
Aquí se presentan condiciones de configuración incorrecta para clústeres de Amazon EKS y pasos de remediación sugeridos.
El clúster de Amazon EKS permite acceso público
El punto de conexión del clúster de Amazon EKS es el punto de conexión que utiliza para comunicarse con el servidor de la API de Kubernetes del clúster. De manera predeterminada, este punto de conexión es público en Internet. Los puntos de conexión públicos aumentan la superficie expuesta a ataques y el riesgo de acceso no autorizado al servidor de la API de Kubernetes, lo que podría permitir que atacantes accedan o modifiquen recursos del clúster o accedan a información confidencial. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda restringir el acceso al punto final del clúster de EKS únicamente a los rangos de IP necesarios.
Modificación del acceso al punto de conexión
En el resultado de exposición, abra el recurso. Esto abrirá el clúster de Amazon EKS afectado. Puede configurar el clúster para usar acceso privado, acceso público o ambos. Con acceso privado, las solicitudes a la API de Kubernetes que se originan dentro de la VPC del clúster utilizan el punto de conexión de VPC privado. Con acceso público, las solicitudes a la API de Kubernetes que se originan fuera de la VPC del clúster utilizan el punto de conexión público.
Modificación o eliminación del acceso público al clúster
Para modificar el acceso al punto de conexión de un clúster existente, consulte Modificación del acceso al punto de conexión del clúster en la Guía de usuario del servicio de Amazon Elastic Kubernetes. Implemente reglas más restrictivas basadas en intervalos de direcciones IP específicos o en grupos de seguridad. Si es necesario un acceso público limitado, restrinja el acceso a intervalos específicos de bloques de CIDR o utilice listas de prefijos.
El clúster de Amazon EKS utiliza una versión de Kubernetes que no es compatible
Amazon EKS admite cada versión de Kubernetes durante un periodo limitado. La ejecución de clústeres con versiones de Kubernetes que no son compatibles puede exponer el entorno a vulnerabilidades de seguridad, ya que los parches de CVE se dejarán de publicar para versiones obsoletas. Las versiones que no son compatibles pueden contener vulnerabilidades de seguridad conocidas que pueden ser aprovechadas por atacantes y carecen de características de seguridad que podrían estar disponibles en versiones más recientes. Siguiendo las prácticas recomendadas de seguridad, se AWS recomienda mantener actualizada la versión de Kubernetes.
Actualización de una versión de Kubernetes
En el resultado de exposición, abra el recurso. Esto abrirá el clúster de Amazon EKS afectado. Antes de actualizar su clúster, revise Versiones disponibles con soporte estándar en la Guía del usuario del Amazon Elastic Kubernetes Service para obtener una lista de las versiones de Kubernetes admitidas actualmente.
El clúster de Amazon EKS utiliza secretos de Kubernetes sin cifrar
Los secretos de Kubernetes se almacenan, de manera predeterminada, sin cifrar en el almacén de datos subyacente del servidor de la API (etcd). Cualquier persona con acceso a la API o con acceso a etcd puede recuperar o modificar un secreto. Para evitar esto, debe cifrar los secretos de Kubernetes en reposo. Si los secretos de Kubernetes no están cifrados, son vulnerables a accesos no autorizados si etcd se ve comprometido. Dado que los secretos suelen contener información confidencial como contraseñas y tokens de API, su exposición podría generar accesos no autorizados a otras aplicaciones y datos. Siguiendo las mejores prácticas de seguridad, AWS recomienda cifrar toda la información confidencial almacenada en los secretos de Kubernetes.
Cifrado de secretos de Kubernetes
Amazon EKS admite el cifrado de los secretos de Kubernetes mediante claves de KMS a través de cifrado de sobre. Para habilitar el cifrado de los secretos de Kubernetes para el clúster de EKS, consulte Cifrado de secretos de Kubernetes con KMS en clústeres existentes en la Guía del usuario de Amazon EKS.
Características de vulnerabilidad de los clústeres de Amazon EKS
Aquí se presentan las condiciones de vulnerabilidad para clústeres de Amazon EKS.
El clúster de Amazon EKS tiene un contenedor con vulnerabilidades de software explotables a través de la red y con una alta probabilidad de explotación
Los paquetes de software que están instalados en los clústeres de EKS pueden estar expuestos a vulnerabilidades y exposiciones comunes (CVEs). Las críticas CVEs representan riesgos de seguridad importantes para su AWS entorno. Usuarios no autorizados pueden explotar estas vulnerabilidades sin parches para comprometer la confidencialidad, integridad o disponibilidad de los datos, o para acceder a otros sistemas. Las vulnerabilidades críticas con alta probabilidad de explotación representan amenazas de seguridad inmediatas, ya que el código de explotación puede estar disponible públicamente y ser utilizado activamente por atacantes o por herramientas automatizadas de detección. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda parchear estas vulnerabilidades para proteger la instancia de los ataques.
Actualización de las instancias afectadas
Actualice las imágenes de contenedores a versiones más recientes que incluyan correcciones de seguridad para las vulnerabilidades identificadas. Esto normalmente implica volver a compilar las imágenes de los contenedores con imágenes base o dependencias actualizadas y luego implementar las nuevas imágenes en el clúster de Amazon EKS.
El clúster de Amazon EKS tiene un contenedor con vulnerabilidades de software
Los paquetes de software que se instalan en los clústeres de Amazon EKS pueden estar expuestos a vulnerabilidades y exposiciones comunes (CVEs). Los no críticos CVEs representan debilidades de seguridad con menor gravedad o capacidad de explotación en comparación con los críticos. CVEs Aunque estas vulnerabilidades representan un riesgo menos inmediato, los atacantes aún pueden aprovechar estas vulnerabilidades sin parches para comprometer la confidencialidad, integridad o disponibilidad de los datos, o para acceder a otros sistemas. Siguiendo las mejores prácticas de seguridad, AWS recomienda parchear estas vulnerabilidades para proteger la instancia de los ataques.
Actualización de las instancias afectadas
Actualice las imágenes de contenedores a versiones más recientes que incluyan correcciones de seguridad para las vulnerabilidades identificadas. Esto normalmente implica volver a compilar las imágenes de los contenedores con imágenes base o dependencias actualizadas y luego implementar las nuevas imágenes en el clúster de Amazon EKS.
El clúster de Amazon EKS tiene un contenedor con un sistema End-Of-Life operativo
La imagen del contenedor Amazon EKS se basa en un sistema end-of-life operativo que el desarrollador original ya no admite ni mantiene. Esto expone el contenedor a vulnerabilidades de seguridad y a posibles ataques. Cuando los sistemas operativos llegan end-of-life, los proveedores suelen dejar de publicar nuevos avisos de seguridad. Los avisos de seguridad existentes también se pueden eliminar de los ficheros de proveedores. Como resultado, Amazon Inspector podría dejar de generar hallazgos de forma conocida CVEs, lo que crearía más brechas en la cobertura de seguridad.
Consulte Sistemas operativos descatalogados en la Guía del usuario de Amazon Inspector para obtener información sobre los sistemas operativos que han llegado al final de su vida útil y que Amazon Inspector puede detectar.
Actualice a una versión de sistema operativo compatible
Se recomienda actualizar el sistema operativo a una versión compatible. En la búsqueda de exposición, abra el recurso para acceder al recurso afectado. Antes de actualizar la versión del sistema operativo en la imagen de su contenedor, consulte las versiones disponibles en Sistemas operativos compatibles en la Guía del usuario de Amazon Inspector para obtener una lista de las versiones de sistemas operativos compatibles actualmente. Tras actualizar la imagen del contenedor, reconstruya y vuelva a implementar los contenedores en el clúster de Amazon EKS.
El clúster de Amazon EKS tiene un contenedor con paquetes de software malintencionado
Los paquetes maliciosos son componentes de software que contienen código dañino diseñado para comprometer la confidencialidad, integridad y disponibilidad de sus sistemas y datos. Los paquetes malintencionados representan una amenaza activa y crítica para su clúster de Amazon EKS, ya que los atacantes pueden ejecutar código malicioso automáticamente sin aprovechar una vulnerabilidad. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda eliminar los paquetes maliciosos para proteger su clúster de posibles ataques.
Elimine los paquetes maliciosos
Revise los detalles de los paquetes maliciosos en la sección Referencias de la pestaña Vulnerabilidad de la característica para comprender la amenaza. Elimine los paquetes maliciosos identificados de las imágenes de su contenedor. A continuación, elimine los pods con la imagen comprometida. Actualice sus despliegues de Kubernetes para usar las imágenes de contenedor actualizadas. A continuación, implemente los cambios y vuelva a implementar los pods.
El clúster EKS tiene archivos maliciosos
Los archivos maliciosos contienen código dañino diseñado para comprometer la confidencialidad, integridad y disponibilidad de sus sistemas y datos. Los archivos maliciosos representan una amenaza activa y crítica para su clúster, ya que los atacantes pueden ejecutar código malicioso automáticamente sin aprovechar una vulnerabilidad. Siguiendo las prácticas recomendadas de seguridad, AWS recomienda eliminar los archivos maliciosos para proteger el clúster de posibles ataques.
Elimine los archivos maliciosos
Para identificar el volumen específico de Amazon Elastic Block Store (Amazon EBS) que contiene archivos maliciosos, consulta la sección Recursos de los detalles de búsqueda de la característica. Una vez que haya identificado el volumen con el archivo malicioso, elimine los archivos maliciosos identificados. Tras eliminar los archivos maliciosos, considere la posibilidad de realizar un análisis para asegurarse de que se hayan eliminado todos los archivos que puedan haber sido instalados por el archivo malintencionado. Para obtener más información, consulte Iniciar el análisis de software malicioso bajo demanda GuardDuty en el.
