Come funziona il monitoraggio del runtime con i cluster Amazon EKS - Amazon GuardDuty
Approcci per gestire gli agenti GuardDuty di sicurezza nei cluster Amazon EKS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona il monitoraggio del runtime con i cluster Amazon EKS

Runtime Monitoring utilizza un componente aggiuntivo EKS aws-guardduty-agent, chiamato anche agente di GuardDuty sicurezza. Dopo l'implementazione dell'agente di GuardDuty sicurezza sui cluster EKS, GuardDuty è in grado di ricevere eventi di runtime per questi cluster EKS.

Note

Runtime Monitoring supporta i cluster Amazon EKS in esecuzione su EC2 istanze Amazon e Amazon EKS Auto Mode.

Runtime Monitoring non supporta i cluster Amazon EKS con Amazon EKS Hybrid Nodes e quelli in AWS Fargate esecuzione.

Per informazioni su queste funzionalità di Amazon EKS, consulta Cos'è Amazon EKS? nella Guida per l'utente di Amazon EKS.

Puoi monitorare gli eventi di runtime dei cluster Amazon EKS a livello di account o di cluster. Puoi gestire l'agente GuardDuty di sicurezza solo per i cluster Amazon EKS che desideri monitorare per il rilevamento delle minacce. Puoi gestire l'agente GuardDuty di sicurezza manualmente o consentendone la gestione GuardDuty per tuo conto, utilizzando la configurazione automatizzata dell'agente.

Quando utilizzi l'approccio di configurazione automatizzata degli agenti GuardDuty per consentire di gestire l'implementazione del security agent per tuo conto, questo creerà automaticamente un endpoint Amazon Virtual Private Cloud (Amazon VPC). Il security agent fornisce gli eventi di runtime GuardDuty utilizzando questo endpoint Amazon VPC.

Oltre all'endpoint VPC, crea, GuardDuty inoltre, un nuovo gruppo di sicurezza. Le regole in entrata (ingresso) controllano il traffico autorizzato a raggiungere le risorse associate al gruppo di sicurezza GuardDuty aggiunge regole in entrata che corrispondono all'intervallo CIDR VPC per la tua risorsa e si adatta anche quando l'intervallo CIDR cambia. Per ulteriori informazioni, consulta la gamma VPC CIDR nella Amazon VPC User Guide.

Note

  • L'utilizzo dell'endpoint VPC non prevede costi aggiuntivi.

  • Utilizzo di un VPC centralizzato con agente automatizzato: quando GuardDuty utilizzi la configurazione automatica degli agenti per un tipo di risorsa GuardDuty , creerà un endpoint VPC per tuo conto per tutti. VPCs Ciò include il VPC e lo spoke centralizzati. VPCs GuardDuty non supporta la creazione di un endpoint VPC solo per il VPC centralizzato. Per ulteriori informazioni sul funzionamento del VPC centralizzato, consulta Interface VPC endpoint nel Whitepaper - Creazione di un'infrastruttura di AWS rete multi-VPC scalabile e sicura. AWS

Approcci per gestire gli agenti GuardDuty di sicurezza nei cluster Amazon EKS

Prima del 13 settembre 2023, era possibile GuardDuty configurare la gestione dell'agente di sicurezza a livello di account. Questo comportamento indicava che, per impostazione predefinita, GuardDuty avrebbe gestito l'agente di sicurezza su tutti i cluster EKS che appartengono a un Account AWS. Ora GuardDuty offre una funzionalità granulare per aiutarti a scegliere i cluster EKS per i quali desideri GuardDuty gestire l'agente di sicurezza.

Se scegli Gestire l'agente GuardDuty di sicurezza manualmente, puoi comunque selezionare i cluster EKS che desideri monitorare. Tuttavia, per gestire l'agente manualmente, Account AWS è necessario creare un endpoint Amazon VPC per.

Nota

Indipendentemente dall'approccio utilizzato per gestire l'agente di GuardDuty sicurezza, il monitoraggio del runtime EKS è sempre abilitato a livello di account.

Gestire l'agente di sicurezza tramite GuardDuty

GuardDuty implementa e gestisce l'agente di sicurezza per tuo conto. Puoi monitorare i cluster EKS nel tuo account in qualsiasi momento utilizzando uno degli approcci seguenti.

Monitorare tutti i cluster EKS

Utilizza questo approccio se desideri GuardDuty implementare e gestire l'agente di sicurezza per tutti i cluster EKS nel tuo account. Per impostazione predefinita, GuardDuty implementerà l'agente di sicurezza anche su un cluster EKS potenzialmente nuovo creato nel tuo account.

Impatto dell'utilizzo di questo approccio

  • GuardDuty crea un endpoint Amazon Virtual Private Cloud (Amazon VPC) attraverso il quale l'agente di GuardDuty sicurezza fornisce gli eventi di runtime. GuardDuty Non sono previsti costi aggiuntivi per la creazione dell'endpoint Amazon VPC se gestisci l'agente di sicurezza tramite. GuardDuty

  • Il nodo worker deve disporre di un percorso di rete valido verso un endpoint guardduty-data VPC attivo. GuardDuty implementa l'agente di sicurezza sui cluster EKS. Amazon Elastic Kubernetes Service (Amazon EKS) coordinerà l'implementazione dell'agente di sicurezza sui nodi all'interno dei cluster EKS.

  • In base alla disponibilità degli IP, GuardDuty seleziona la sottorete per creare un endpoint VPC. Se utilizzi topologie di rete avanzate, devi verificare che la connettività sia possibile.

Escludi cluster EKS selettivi

Utilizza questo approccio se desideri gestire l'agente GuardDuty di sicurezza per tutti i cluster EKS nel tuo account, ma escluda cluster EKS selettivi. Questo metodo utilizza un approccio1 basato su tag in cui puoi assegnare tag ai cluster EKS per i quali non desideri ricevere gli eventi di runtime. La coppia chiave-valore del tag predefinito deve essere GuardDutyManaged-false.

Impatto dell'utilizzo di questo approccio

Questo approccio richiede l'abilitazione della gestione automatica GuardDuty dell'agente solo dopo aver aggiunto tag ai cluster EKS da escludere dal monitoraggio.

Pertanto, Gestire l'agente di sicurezza tramite GuardDuty incide anche su questo approccio. Se assegni tag prima di abilitare la gestione automatica dell' GuardDuty agente, non GuardDuty implementerà né gestirà l'agente di sicurezza per i cluster EKS esclusi dal monitoraggio.

Considerazioni

  • È necessario aggiungere la coppia chiave-valore di tagGuardDutyManaged: false per i cluster EKS selettivi prima di abilitare la configurazione automatizzata dell'agente, altrimenti l'agente di GuardDuty sicurezza verrà implementato su tutti i cluster EKS fino a quando il tag non viene utilizzato.

  • È necessario fare in modo che i tag vengano modificati solo da identità affidabili.

    Importante

    Gestisci le autorizzazioni per modificare il valore del tag GuardDutyManaged per il cluster EKS utilizzando le policy di controllo dei servizi o le policy IAM. Per ulteriori informazioni, consulta Service control policies (SCPs) nella Guida per l'AWS Organizations utente o Control access to AWS resources nella IAM User Guide.

  • Assicurati di aggiungere la coppia chiave-valore GuardDutyManaged-false al momento della creazione di un cluster EKS potenzialmente nuovo che non desideri monitorare.

  • La considerazione specificata per Monitorare tutti i cluster EKS vale anche per questo approccio.

Includi cluster EKS selettivi

Utilizza questo approccio se desideri GuardDuty implementare e gestire gli aggiornamenti dell'agente di sicurezza solo per cluster EKS selettivi nel tuo account. Questo metodo utilizza un approccio1 basato su tag in cui puoi assegnare tag al cluster EKS per il quale desideri ricevere gli eventi di runtime.

Impatto dell'utilizzo di questo approccio

  • Utilizzando i tag di inclusione, GuardDuty implementerà e gestirà automaticamente l'agente di sicurezza solo per i cluster EKS selettivi contrassegnati con GuardDutyManaged - true come coppia chiave-valore.

  • L'utilizzo di questo approccio avrà lo stesso impatto specificato per Monitorare tutti i cluster EKS.

Considerazioni

  • Se il valore del tag GuardDutyManaged non è impostato su true, il tag di inclusione non funzionerà come previsto e ciò potrebbe influire sul monitoraggio del cluster EKS.

  • Per garantire il monitoraggio dei cluster EKS selettivi, è necessario fare in modo che i tag vengano modificati solo da identità affidabili.

    Importante

    Gestisci le autorizzazioni per modificare il valore del tag GuardDutyManaged per il cluster EKS utilizzando le policy di controllo dei servizi o le policy IAM. Per ulteriori informazioni, consulta Service control policies (SCPs) nella Guida per l'AWS Organizations utente o Control access to AWS resources nella IAM User Guide.

  • Assicurati di aggiungere la coppia chiave-valore GuardDutyManaged-false al momento della creazione di un cluster EKS potenzialmente nuovo che non desideri monitorare.

  • La considerazione specificata per Monitorare tutti i cluster EKS vale anche per questo approccio.

1 Per ulteriori informazioni su come assegnare tag ai cluster EKS selettivi, consulta Assegnazione di tag alle risorse Amazon EKS nella Guida per l'utente di Amazon EKS.

Gestire l'agente GuardDuty di sicurezza manualmente

Utilizza questo approccio se desideri implementare e gestire l'agente GuardDuty di sicurezza manualmente su tutti i cluster EKS. Assicurati che il monitoraggio del runtime EKS sia abilitato per i tuoi account. L'agente GuardDuty di sicurezza potrebbe non funzionare come previsto se il monitoraggio del runtime EKS non è abilitato.

Impatto dell'utilizzo di questo approccio

Dovrai coordinare l'implementazione dell'agente di GuardDuty sicurezza all'interno dei cluster EKS su tutti gli account e su tutte le Regioni AWS in cui questa funzionalità è disponibile. Sarà inoltre necessario aggiornare la versione dell'agente quando viene GuardDuty rilasciata. Per ulteriori informazioni sulle versioni dell'agente perGuardDuty versioni degli agenti di sicurezza per le risorse Amazon EKS.

Considerazioni

È necessario mantenere un flusso di dati sicuro durante il monitoraggio e la risoluzione delle lacune di copertura man mano che vengono implementati nuovi cluster e carichi di lavoro.