Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Correzione delle esposizioni per i cluster Amazon EKS
AWSSecurity Hub può generare risultati di esposizione per i cluster Amazon Elastic Kubernetes Service (Amazon EKS).
Il cluster Amazon EKS coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione Risorse dei dettagli del risultato. È possibile recuperare questi dettagli delle risorse sulla console di Security Hub o a livello di codice con il GetFindingsV2funzionamento dell'API CSPM di Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
Nota
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
Indice
Caratteristiche di errata configurazione per i cluster Amazon EKS
Di seguito sono riportate le caratteristiche di errata configurazione dei cluster Amazon EKS e le procedure di correzione suggerite.
Il cluster Amazon EKS consente l'accesso pubblico
L'endpoint del cluster Amazon EKS è l'endpoint che usi per comunicare con il server API Kubernetes del cluster. Per impostazione predefinita, questo endpoint è pubblico su Internet. Gli endpoint pubblici aumentano la superficie di attacco e il rischio di accesso non autorizzato al server API Kubernetes, permettendo potenzialmente agli aggressori di accedere o modificare le risorse del cluster o accedere a dati sensibili. Seguendo le migliori pratiche di sicurezza, AWS consiglia di limitare l'accesso all'endpoint del cluster EKS solo agli intervalli IP necessari.
Modifica l'accesso agli endpoint
Nel rilevamento dell'esposizione, apri la risorsa. Questo aprirà il cluster Amazon EKS interessato. Puoi configurare il cluster per utilizzare l'accesso privato, l'accesso pubblico o entrambi. Con l'accesso privato, le richieste API Kubernetes che hanno origine all'interno del VPC del cluster utilizzano l'endpoint VPC privato. Con l'accesso pubblico, le richieste API Kubernetes che provengono dall'esterno del VPC del cluster utilizzano l'endpoint pubblico.
Modifica o rimuovi l'accesso pubblico al cluster
Per modificare l'accesso agli endpoint per un cluster esistente, consulta Modificare l'accesso agli endpoint del cluster nella Amazon Elastic Kubernetes Service User Guide. Implementa regole più restrittive basate su intervalli IP o gruppi di sicurezza specifici. Se è necessario un accesso pubblico limitato, limita l'accesso a intervalli di blocchi CIDR specifici o utilizza elenchi di prefissi.
Il cluster Amazon EKS utilizza una versione di Kubernetes non supportata
Amazon EKS supporta ogni versione di Kubernetes per un periodo di tempo limitato. L'esecuzione di cluster con versioni di Kubernetes non supportate può esporre l'ambiente a vulnerabilità di sicurezza, poiché le patch CVE non verranno più rilasciate per le versioni obsolete. Le versioni non supportate possono contenere vulnerabilità di sicurezza note che possono essere sfruttate dagli aggressori e non dispongono delle funzionalità di sicurezza che potrebbero essere disponibili nelle versioni più recenti. Seguendo le migliori pratiche di sicurezza, AWS consiglia di mantenere aggiornata la versione di Kubernetes.
Aggiornamento della versione di Kubernetes
Nella ricerca sull'esposizione, apri la risorsa. Questo aprirà il cluster Amazon EKS interessato. Prima di aggiornare il cluster, consulta la sezione Versioni disponibili sul supporto standard nella Amazon Elastic Kubernetes Service User Guide per un elenco delle versioni di Kubernetes attualmente supportate.
Il cluster Amazon EKS utilizza segreti Kubernetes non crittografati
I segreti Kubernetes sono, per impostazione predefinita, archiviati in modo non crittografato nell'archivio dati sottostante del server API (etcd). Chiunque abbia accesso all'API o a etcd può recuperare o modificare un segreto. Per evitare che ciò accada, è necessario crittografare i segreti di Kubernetes inattivi. Se i Kubernetes Secrets non sono crittografati, sono vulnerabili all'accesso non autorizzato se etcd è compromesso. Poiché i segreti contengono spesso informazioni sensibili come password e token API, la loro esposizione potrebbe portare all'accesso non autorizzato ad altre applicazioni e dati. Seguendo le migliori pratiche di sicurezza, AWS consiglia di crittografare tutte le informazioni sensibili archiviate nei segreti di Kubernetes.
Crittografa i segreti di Kubernetes
Amazon EKS supporta la crittografia dei segreti Kubernetes utilizzando chiavi KMS tramite crittografia a busta. Per abilitare la crittografia dei segreti Kubernetes per il tuo cluster EKS, consulta Encrypt Kubernetes secret with KMS su cluster esistenti nella Amazon EKS User Guide.
Caratteristiche di vulnerabilità per i cluster Amazon EKS
Ecco le caratteristiche di vulnerabilità dei cluster Amazon EKS.
Il cluster Amazon EKS dispone di un contenitore con vulnerabilità software sfruttabili in rete con un'elevata probabilità di sfruttamento
I pacchetti software installati sui cluster EKS possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs I rischi critici CVEs comportano rischi significativi per la sicurezza dell'ambiente. AWS Gli utenti non autorizzati possono sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Le vulnerabilità critiche con un'elevata probabilità di sfruttamento rappresentano minacce immediate alla sicurezza, in quanto il codice di exploit potrebbe già essere disponibile al pubblico e utilizzato attivamente dagli aggressori o dagli strumenti di scansione automatizzati. Seguendo le best practice di sicurezza, AWS consiglia di correggere queste vulnerabilità per proteggere l'istanza dagli attacchi.
Aggiorna le istanze interessate
Aggiorna le immagini dei contenitori alle versioni più recenti che includono correzioni di sicurezza per le vulnerabilità identificate. Ciò comporta in genere la ricostruzione delle immagini dei container con immagini di base o dipendenze aggiornate, quindi la distribuzione delle nuove immagini nel cluster Amazon EKS.
Il cluster Amazon EKS dispone di un contenitore con vulnerabilità software
I pacchetti software installati sui cluster Amazon EKS possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs I punti deboli non critici CVEs rappresentano punti deboli di sicurezza con gravità o sfruttabilità inferiori rispetto a quelli critici. CVEs Sebbene queste vulnerabilità rappresentino un rischio meno immediato, gli aggressori possono comunque sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Seguendo le best practice di sicurezza, AWS consiglia di correggere queste vulnerabilità per proteggere l'istanza dagli attacchi.
Aggiorna le istanze interessate
Aggiorna le immagini dei contenitori alle versioni più recenti che includono correzioni di sicurezza per le vulnerabilità identificate. Ciò comporta in genere la ricostruzione delle immagini dei container con immagini di base o dipendenze aggiornate, quindi la distribuzione delle nuove immagini nel cluster Amazon EKS.
Il cluster Amazon EKS dispone di un contenitore con un sistema End-Of-Life operativo
L'immagine del contenitore Amazon EKS si basa su un sistema end-of-life operativo che non è più supportato o gestito dallo sviluppatore originale. Ciò espone il contenitore a vulnerabilità di sicurezza e potenziali attacchi. Quando i sistemi operativi arrivano end-of-life, i fornitori in genere smettono di rilasciare nuovi avvisi di sicurezza. Gli avvisi di sicurezza esistenti possono anche essere rimossi dai feed dei fornitori. Di conseguenza, Amazon Inspector potrebbe potenzialmente smettere di generare risultati noti CVEs, creando ulteriori lacune nella copertura di sicurezza.
Consulta i sistemi operativi fuori produzione nella Amazon Inspector User Guide per informazioni sui sistemi operativi che hanno raggiunto la fine del ciclo di vita che possono essere rilevati da Amazon Inspector.
Esegui l'aggiornamento a una versione del sistema operativo supportata
Si consiglia l'aggiornamento a una versione supportata del sistema operativo. Nel rilevamento dell'esposizione, aprite la risorsa per accedere alla risorsa interessata. Prima di aggiornare la versione del sistema operativo nell'immagine del contenitore, consulta le versioni disponibili in Supported Operating Systems nella Amazon Inspector User Guide per un elenco delle versioni del sistema operativo attualmente supportate. Dopo aver aggiornato l'immagine del contenitore, ricostruisci e ridistribuisci i contenitori nel cluster Amazon EKS.
Il cluster Amazon EKS dispone di un contenitore con pacchetti software dannosi
I pacchetti dannosi sono componenti software che contengono codice dannoso progettato per compromettere la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati. I pacchetti dannosi rappresentano una minaccia attiva e critica per il tuo cluster Amazon EKS, poiché gli aggressori possono eseguire codice dannoso automaticamente senza sfruttare una vulnerabilità. Seguendo le best practice di sicurezza, AWS consiglia di rimuovere i pacchetti dannosi per proteggere il cluster da potenziali attacchi.
Rimuovi i pacchetti dannosi
Esamina i dettagli del pacchetto dannoso nella sezione Riferimenti della scheda Vulnerabilità della caratteristica per comprendere la minaccia. Rimuovi i pacchetti dannosi identificati dalle immagini del contenitore. Quindi, elimina i pod con l'immagine compromessa. Aggiorna le tue implementazioni Kubernetes per utilizzare le immagini dei container aggiornate. Quindi, distribuisci le modifiche e ridistribuisci i pod.
Il cluster EKS contiene file dannosi
I file dannosi contengono codice dannoso progettato per compromettere la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati. I file dannosi rappresentano una minaccia attiva e critica per il cluster, in quanto gli aggressori possono eseguire codice dannoso automaticamente senza sfruttare una vulnerabilità. Seguendo le best practice di sicurezza, AWS consiglia di rimuovere i file dannosi per proteggere il cluster da potenziali attacchi.
Rimuovi i file dannosi
Per identificare lo specifico volume Amazon Elastic Block Store (Amazon EBS) che contiene file dannosi, consulta la sezione Risorse dei dettagli relativi alla scoperta della caratteristica. Una volta identificato il volume con il file dannoso, rimuovi i file dannosi identificati. Dopo aver rimosso i file dannosi, valuta la possibilità di eseguire una scansione per verificare che tutti i file che potrebbero essere stati installati dal file dannoso siano stati rimossi. Per ulteriori informazioni, consulta Avvio della scansione antimalware su richiesta GuardDuty in.
