Contribuisci a migliorare questa pagina
Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.
Analizzare le vulnerabilità in Amazon EKS
La sicurezza è una considerazione fondamentale per la configurazione e la manutenzione di cluster e applicazioni Kubernetes. Di seguito sono elencate le risorse per analizzare la configurazione di sicurezza dei cluster EKS, le risorse per verificare la presenza di vulnerabilità e le integrazioni con i servizi AWS che possono eseguire l’analisi.
Il Center for Internet Security (CIS) Benchmark per Amazon EKS
Il Center for Internet Security (CIS) Benchmark
-
È applicabile ai nodi Amazon EC2 (gestiti e autogestiti) in cui sei responsabile delle configurazioni di sicurezza dei componenti Kubernetes.
-
Fornisce un modo standard approvato dalla community per garantire di aver configurato in modo sicuro il cluster Kubernetes e i nodi quando si utilizza Amazon EKS.
-
È costituito da quattro sezioni: configurazione della registrazione del piano di controllo, configurazioni di sicurezza dei nodi, criteri e servizi gestiti.
-
Supporta tutte le versioni Kubernetes attualmente disponibili in Amazon EKS e può essere eseguito utilizzando kube-bench
, uno strumento open source standard per il controllo della configurazione utilizzando il benchmark CIS sui cluster Kubernetes.
Per ulteriori informazioni, consulta Presentazione del benchmark CIS Amazon EKS
Per una pipeline aws-sample automatizzata al fine di aggiornare il gruppo di nodi con un AMI con benchmark CIS, consulta EKS-Optimized AMI Hardening Pipeline
Versioni della piattaforma Amazon EKS
Le versioni della piattaforma Amazon EKS rappresentano le funzionalità del piano di controllo del cluster, tra cui i flag del server API di Kubernetes abilitati e l’attuale versione della patch di Kubernetes. I nuovi cluster vengono implementati con la versione più recente della piattaforma. Per i dettagli, consulta EKS platform-versions.
È possibile aggiornare un cluster Amazon EKS alla versione più recente di Kubernetes. Man mano che nuove versioni di Kubernetes diventano disponibili in Amazon EKS, ti consigliamo di aggiornare tempestivamente i cluster in modo da usare la versione più recente disponibile. Per ulteriori informazioni sulle versioni di Kubernetes in EKS, consulta Amazon EKS supported versions.
Elenco delle vulnerabilità del sistema operativo
Elenco vulnerabilità di AL2023
Tieni traccia degli eventi di sicurezza o di privacy per Amazon Linux 2023 nel Centro di sicurezza di Amazon Linux
Elenco delle vulnerabilità di Amazon Linux 2
Tieni traccia degli eventi di sicurezza o di privacy per Amazon Linux 2 nel Centro di sicurezza di Amazon Linux
Rilevamento dei nodi con Amazon Inspector
È possibile utilizzare Amazon Inspector per verificare la presenza di accessibilità alla rete non intenzionale dei nodi e le vulnerabilità sulle istanze Amazon EC2.
Rilevamento di cluster e nodi con Amazon GuardDuty
Amazon GuardDuty è un servizio di rilevamento delle minacce che monitora continuamente gli account, i container, i carichi di lavoro e i dati all’interno dell’ambiente AWS. Tra le altre funzionalità, GuardDuty offre le due funzionalità seguenti che rilevano potenziali minacce ai cluster EKS: Protezione EKS e Monitoraggio del runtime.
Per ulteriori informazioni, consulta Rileva minacce con Amazon GuardDuty.
