Corriger les risques liés aux clusters Amazon EKS - AWSSecurity Hub
Caractéristiques de mauvaise configuration pour les clusters Amazon EKSCaractéristiques de vulnérabilité des clusters Amazon EKSLe cluster Amazon EKS possède un conteneur avec un système End-Of-Life d'exploitationLe cluster Amazon EKS possède un conteneur contenant des packages de logiciels malveillantsLe cluster EKS contient des fichiers malveillants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Corriger les risques liés aux clusters Amazon EKS

AWSSecurity Hub peut générer des résultats d'exposition pour les clusters Amazon Elastic Kubernetes Service (Amazon EKS).

Le cluster Amazon EKS impliqué dans une découverte d'exposition et ses informations d'identification sont répertoriés dans la section Ressources des détails de la recherche. Vous pouvez récupérer les détails de ces ressources sur la console Security Hub ou par programmation à l'aide de l'GetFindingsV2API Security Hub CSPM.

Après avoir identifié la ressource impliquée dans un constat d'exposition, vous pouvez supprimer la ressource si vous n'en avez pas besoin. La suppression d'une ressource non essentielle peut réduire votre profil d'exposition et vos AWS coûts. Si la ressource est essentielle, suivez ces étapes de correction recommandées pour atténuer le risque. Les sujets de remédiation sont divisés en fonction du type de trait.

Un seul résultat d'exposition contient des problèmes identifiés dans plusieurs rubriques de remédiation. À l'inverse, vous pouvez corriger une constatation d'exposition et en réduire le niveau de gravité en abordant un seul sujet de remédiation. Votre approche en matière de remédiation des risques dépend des exigences et des charges de travail de votre organisation.

Note

Les conseils de remédiation fournis dans cette rubrique peuvent nécessiter des consultations supplémentaires dans d'autres AWS ressources.

Caractéristiques de mauvaise configuration pour les clusters Amazon EKS

Voici les caractéristiques de mauvaise configuration des clusters Amazon EKS et les étapes de correction suggérées.

Le cluster Amazon EKS autorise l'accès public

Le point de terminaison du cluster Amazon EKS est le point de terminaison que vous utilisez pour communiquer avec le serveur d'API Kubernetes de votre cluster. Par défaut, ce point de terminaison est public sur Internet. Les points de terminaison publics augmentent votre surface d'attaque et le risque d'accès non autorisé à votre serveur d'API Kubernetes, permettant ainsi à des attaquants d'accéder aux ressources du cluster ou de les modifier ou d'accéder à des données sensibles. Conformément aux meilleures pratiques de sécurité, AWS recommande de restreindre l'accès à votre point de terminaison du cluster EKS aux seules plages d'adresses IP nécessaires.

Modifier l'accès aux terminaux

Dans le résultat de l'exposition, ouvrez la ressource. Cela ouvrira le cluster Amazon EKS concerné. Vous pouvez configurer votre cluster pour qu'il utilise un accès privé, un accès public ou les deux. Avec un accès privé, les demandes d'API Kubernetes provenant du VPC de votre cluster utilisent le point de terminaison VPC privé. Avec un accès public, les demandes d'API Kubernetes provenant de l'extérieur du VPC de votre cluster utilisent le point de terminaison public.

Modifier ou supprimer l'accès public au cluster

Pour modifier l'accès aux points de terminaison d'un cluster existant, consultez la section Modification de l'accès aux points de terminaison du cluster dans le guide de l'utilisateur d'Amazon Elastic Kubernetes Service. Implémentez des règles plus restrictives basées sur des plages d'adresses IP ou des groupes de sécurité spécifiques. Si un accès public limité est nécessaire, limitez l'accès à des plages de blocs CIDR spécifiques ou utilisez des listes de préfixes.

Le cluster Amazon EKS utilise une version de Kubernetes non prise en charge

Amazon EKS prend en charge chaque version de Kubernetes pendant une période limitée. L'exécution de clusters avec des versions de Kubernetes non prises en charge peut exposer votre environnement à des failles de sécurité, car les correctifs CVE cesseront d'être publiés pour les versions obsolètes. Les versions non prises en charge peuvent contenir des failles de sécurité connues qui peuvent être exploitées par des attaquants et ne pas disposer des fonctionnalités de sécurité susceptibles d'être disponibles dans les versions plus récentes. Conformément aux meilleures pratiques de sécurité, AWS recommande de maintenir votre version de Kubernetes à jour.

Mises à jour de la version Kubernetes

Dans le résultat de l'exposition, ouvrez la ressource. Cela ouvrira le cluster Amazon EKS concerné. Avant de mettre à jour votre cluster, consultez les versions disponibles sur le support standard dans le guide de l'utilisateur d'Amazon Elastic Kubernetes Service pour obtenir la liste des versions de Kubernetes actuellement prises en charge.

Le cluster Amazon EKS utilise des secrets Kubernetes non chiffrés

Les secrets Kubernetes sont, par défaut, stockés non chiffrés dans le magasin de données sous-jacent (etcd) du serveur d'API. Toute personne ayant accès à une API ou ayant accès à etcd peut récupérer ou modifier un secret. Pour éviter cela, vous devez chiffrer les secrets Kubernetes au repos. Si les secrets Kubernetes ne sont pas chiffrés, ils sont vulnérables à un accès non autorisé si etcd est compromis. Étant donné que les secrets contiennent souvent des informations sensibles telles que des mots de passe et des jetons d'API, leur divulgation peut entraîner un accès non autorisé à d'autres applications et données. Conformément aux meilleures pratiques de sécurité, AWS recommande de chiffrer toutes les informations sensibles stockées dans les secrets Kubernetes.

Chiffrez les secrets de Kubernetes

Amazon EKS prend en charge le chiffrement des secrets Kubernetes à l'aide de clés KMS via le chiffrement d'enveloppe. Pour activer le chiffrement des secrets Kubernetes pour votre cluster EKS, consultez la section Chiffrer les secrets Kubernetes avec KMS sur des clusters existants dans le guide de l'utilisateur Amazon EKS.

Caractéristiques de vulnérabilité des clusters Amazon EKS

Voici les caractéristiques de vulnérabilité des clusters Amazon EKS.

Le cluster Amazon EKS possède un conteneur contenant des vulnérabilités logicielles exploitables par le réseau présentant une forte probabilité d'exploitation

Les progiciels installés sur les clusters EKS peuvent être exposés à des vulnérabilités et à des risques courants (CVEs). CVEs Les éléments critiques présentent des risques de sécurité importants pour votre AWS environnement. Les utilisateurs non autorisés peuvent exploiter ces vulnérabilités non corrigées pour compromettre la confidentialité, l'intégrité ou la disponibilité des données, ou pour accéder à d'autres systèmes. Les vulnérabilités critiques présentant une forte probabilité d'exploitation constituent des menaces de sécurité immédiates, car le code d'exploitation peut déjà être accessible au public et utilisé activement par des attaquants ou des outils d'analyse automatisés. Conformément aux meilleures pratiques de sécurité, il est AWS recommandé de corriger ces vulnérabilités afin de protéger votre instance contre les attaques.

Mettre à jour les instances concernées

Mettez à jour les images de vos conteneurs vers des versions plus récentes qui incluent des correctifs de sécurité pour les vulnérabilités identifiées. Cela implique généralement de reconstruire vos images de conteneur avec des images de base ou des dépendances mises à jour, puis de déployer les nouvelles images sur votre cluster Amazon EKS.

Le cluster Amazon EKS possède un conteneur présentant des vulnérabilités logicielles

Les packages logiciels installés sur les clusters Amazon EKS peuvent être exposés à des vulnérabilités et à des risques courants (CVEs). Les failles non critiques CVEs représentent des faiblesses de sécurité moins graves ou moins exploitables que les failles critiques. CVEs Bien que ces vulnérabilités présentent un risque immédiat moindre, les attaquants peuvent toujours exploiter ces vulnérabilités non corrigées pour compromettre la confidentialité, l'intégrité ou la disponibilité des données, ou pour accéder à d'autres systèmes. Conformément aux meilleures pratiques de sécurité, il est AWS recommandé de corriger ces vulnérabilités afin de protéger votre instance contre les attaques.

Mettre à jour les instances concernées

Mettez à jour les images de vos conteneurs vers des versions plus récentes qui incluent des correctifs de sécurité pour les vulnérabilités identifiées. Cela implique généralement de reconstruire vos images de conteneur avec des images de base ou des dépendances mises à jour, puis de déployer les nouvelles images sur votre cluster Amazon EKS.

Le cluster Amazon EKS possède un conteneur avec un système End-Of-Life d'exploitation

L'image du conteneur Amazon EKS repose sur un système end-of-life d'exploitation qui n'est plus pris en charge ou maintenu par le développeur d'origine. Cela expose le conteneur à des failles de sécurité et à des attaques potentielles. Lorsque les systèmes d'exploitation sont end-of-life disponibles, les fournisseurs cessent généralement de publier de nouveaux avis de sécurité. Les avis de sécurité existants peuvent également être supprimés des flux des fournisseurs. Par conséquent, Amazon Inspector pourrait potentiellement cesser de générer des résultats pour des raisons connues CVEs, ce qui créerait de nouvelles failles dans la couverture de sécurité.

Consultez la section Systèmes d'exploitation abandonnés dans le guide de l'utilisateur d'Amazon Inspector pour obtenir des informations sur les systèmes d'exploitation en fin de vie qui peuvent être détectés par Amazon Inspector.

Mise à jour vers une version de système d'exploitation prise en charge

Nous vous recommandons de passer à une version compatible du système d'exploitation. Dans le résultat de l'exposition, ouvrez la ressource pour accéder à la ressource affectée. Avant de mettre à jour la version du système d'exploitation dans votre image de conteneur, consultez les versions disponibles dans Supported Operating Systems dans le manuel Amazon Inspector User Guide pour obtenir la liste des versions de système d'exploitation actuellement prises en charge. Après avoir mis à jour l'image de votre conteneur, reconstruisez et redéployez vos conteneurs sur le cluster Amazon EKS.

Le cluster Amazon EKS possède un conteneur contenant des packages de logiciels malveillants

Les packages malveillants sont des composants logiciels contenant du code nuisible conçu pour compromettre la confidentialité, l'intégrité et la disponibilité de vos systèmes et de vos données. Les packages malveillants constituent une menace active et critique pour votre cluster Amazon EKS, car les attaquants peuvent exécuter du code malveillant automatiquement sans exploiter une vulnérabilité. Conformément aux meilleures pratiques de sécurité, AWS recommande de supprimer les packages malveillants afin de protéger votre cluster contre les attaques potentielles.

Supprimer les packages malveillants

Consultez les détails du package malveillant dans la section Références de l'onglet Vulnérabilité du trait pour comprendre la menace. Supprimez les packages malveillants identifiés des images de vos conteneurs. Supprimez ensuite les modules contenant l'image compromise. Mettez à jour vos déploiements Kubernetes pour utiliser les images de conteneur mises à jour. Déployez ensuite vos modifications et redéployez vos pods.

Le cluster EKS contient des fichiers malveillants

Les fichiers malveillants contiennent du code dangereux conçu pour compromettre la confidentialité, l'intégrité et la disponibilité de vos systèmes et de vos données. Les fichiers malveillants constituent une menace active et critique pour votre cluster, car les attaquants peuvent exécuter du code malveillant automatiquement sans exploiter une vulnérabilité. Conformément aux meilleures pratiques de sécurité, AWS recommande de supprimer les fichiers malveillants afin de protéger votre cluster contre les attaques potentielles.

Supprimer les fichiers malveillants

Pour identifier le volume Amazon Elastic Block Store (Amazon EBS) spécifique qui contient des fichiers malveillants, consultez la section Ressources des informations relatives à la découverte de la caractéristique. Une fois que vous avez identifié le volume contenant le fichier malveillant, supprimez les fichiers malveillants identifiés. Après avoir supprimé les fichiers malveillants, pensez à effectuer une analyse pour vous assurer que tous les fichiers susceptibles d'avoir été installés par le fichier malveillant ont été supprimés. Pour plus d'informations, consultez la section Lancement d'une analyse des programmes malveillants à la demande GuardDuty dans le.