Support per le funzionalità di Amazon EKS Convalida dei requisiti relativi all'architettura Convalida della politica di controllo dei servizi dell'organizzazione

Prerequisiti per il supporto dei cluster Amazon EKS

Questa sezione include i prerequisiti per il monitoraggio del comportamento di runtime delle risorse Amazon EKS. Questi prerequisiti sono fondamentali affinché l' GuardDuty agente funzioni come previsto. Una volta soddisfatti questi prerequisiti, consultate Abilitazione del monitoraggio del GuardDuty runtime per iniziare a monitorare le vostre risorse.

Support per le funzionalità di Amazon EKS

Runtime Monitoring supporta i cluster Amazon EKS in esecuzione su EC2 istanze Amazon e Amazon EKS Auto Mode.

Runtime Monitoring non supporta i cluster Amazon EKS con Amazon EKS Hybrid Nodes e quelli in AWS Fargate esecuzione.

Per informazioni su queste funzionalità di Amazon EKS, consulta Cos'è Amazon EKS? nella Guida per l'utente di Amazon EKS.

Convalida dei requisiti relativi all'architettura

La piattaforma utilizzata può influire sul modo GuardDuty in cui GuardDuty Security Agent supporta la ricezione degli eventi di runtime dai cluster EKS. Devi confermare di utilizzare una delle piattaforme verificate. Se gestisci l' GuardDuty agente manualmente, assicurati che la versione di Kubernetes supporti la versione dell' GuardDuty agente attualmente in uso.

Piattaforme verificate

La distribuzione del sistema operativo, la versione del kernel e l'architettura della CPU influiscono sul supporto fornito dal security agent. GuardDuty Il supporto del kernel include eBPF eTracepoints. Kprobe Per le architetture CPU, Runtime Monitoring supporta AMD64 (x64) e ARM64 (Graviton2 e versioni successive). ¹

La tabella seguente mostra la configurazione verificata per l'implementazione del GuardDuty security agent e la configurazione di EKS Runtime Monitoring.

distribuzione del sistema operativo ²	Versione del kernel ³	Versione di Kubernetes supportata
Bottlerocket	5.4, 5.10, 5.15, 6.1 ⁴	v1.23 - v1.32
Ubuntu	5.4, 5.10, 5.15, 6.1 ⁴	v1.21 - v1.32
Amazon Linux 2	5.4, 5.10, 5.15, 6.1 ⁴	v1.21 - v1.32
Amazon Linux 2023 ⁵	5.4, 5.10, 5.15, 6.1 ⁴	v1.21 - v1.32
RedHat 9.4	5,14 ⁴	v1.21 - v1.32
Fedora 34.0	5.11, 5,.	v1.21 - v1.32
CentOS Stream 9	5.14	v1.21 - v1.32

Il monitoraggio del runtime per i cluster Amazon EKS non supporta le istanze Graviton di prima generazione come i tipi di istanze A1.
Supporto per vari sistemi operativi: GuardDuty ha verificato il supporto del Runtime Monitoring per la distribuzione operativa elencata nella tabella precedente. Sebbene il GuardDuty security agent possa funzionare su sistemi operativi non elencati nella tabella precedente, il GuardDuty team non può garantire il valore di sicurezza previsto.
Per qualsiasi versione del kernel, è necessario impostare il CONFIG_DEBUG_INFO_BTF flag su y (che significa true). Ciò è necessario per consentire al GuardDuty Security Agent di funzionare come previsto.
Attualmente, con la versione Kernel6.1, non è GuardDuty possibile generare dati GuardDuty Tipi di risultati del monitoraggio del runtime correlati a. Eventi del Domain Name System (DNS)
Runtime Monitoring supporta AL2 023 con il rilascio del GuardDuty security agent v1.6.0 e versioni successive. Per ulteriori informazioni, consulta GuardDuty versioni degli agenti di sicurezza per le risorse Amazon EKS.

Versioni di Kubernetes supportate dal security agent GuardDuty

La tabella seguente mostra le versioni di Kubernetes per i cluster EKS supportate dal Security Agent. GuardDuty

Versione dell'agente di GuardDuty sicurezza aggiuntivo Amazon EKS	Versione di Kubernetes
v1.10.0 (più recente - v1.10.0-eksbuild.2) v1.9.0 (più recente - v1.9.0-eksbuild.2) v1.8.1 (più recente - v1.8.1-eksbuild.2)	1,21 - 1,32
v1.7.0 v1.6.1	1,21 - 1,31
versione 1.7.1 v1.7.0 v1.6.1	1,21 - 1,31
v1.6.0 v1.5.0 v1.4.1 v1.4.0 v1.3.1	1,21 - 1,29
v1.3.0 v1.2.0	1,21 - 1,28
v1.1.0	1,21 - 1,26
v1.0.0	1,21 - 1,25

Alcune versioni del GuardDuty Security Agent raggiungeranno la fine del supporto standard.

Per informazioni sulle versioni di rilascio dell'agente, vedere. GuardDuty versioni degli agenti di sicurezza per le risorse Amazon EKS

Limiti di CPU e di memoria

La tabella seguente mostra i limiti di CPU e memoria per il componente aggiuntivo Amazon EKS per GuardDuty (aws-guardduty-agent).

Parametro	Limite minimo	Limite massimo
CPU	200 m	1000 m
Memoria	256 Mi	1024 Mi

Quando utilizzi il componente aggiuntivo Amazon EKS versione 1.5.0 o successiva, GuardDuty offre la possibilità di configurare lo schema del componente aggiuntivo per i valori di CPU e memoria. Per informazioni sull'intervallo configurabile, consulta. Parametri e valori configurabili

Dopo aver abilitato il monitoraggio del runtime EKS e valutato lo stato di copertura dei cluster EKS, puoi configurare e visualizzare i parametri di Container Insights. Per ulteriori informazioni, consulta Configurazione del monitoraggio della CPU e della memoria.

Convalida della politica di controllo dei servizi dell'organizzazione

Se hai impostato una policy di controllo dei servizi (SCP) per gestire le autorizzazioni nella tua organizzazione, verifica che il limite delle autorizzazioni non sia restrittivo. guardduty:SendSecurityTelemetry È necessario per supportare il monitoraggio del runtime GuardDuty su diversi tipi di risorse.

Se sei un account membro, connettiti con l'amministratore delegato associato. Per informazioni sulla gestione SCPs dell'organizzazione, consulta le politiche di controllo del servizio (SCPs).

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Per il cluster Fargate (solo ECS)

Abilitazione del monitoraggio del runtime