**このページの改善にご協力ください** 

このユーザーガイドに貢献するには、すべてのページの右側のペインにある「**GitHub でこのページを編集する**」リンクを選択してください。

# Amazon EKS の脆弱性を分析する
<a name="configuration-vulnerability-analysis"></a>

セキュリティは、Kubernetes クラスターとアプリケーションの設定や管理を行う際の重要な考慮事項です。以下に、EKS クラスターのセキュリティ設定を分析するためのリソース、脆弱性をチェックするためのリソース、およびその分析を実行できる AWS サービスとの統合を示します。

## Amazon EKS 用 Center for Internet Security (CIS) ベンチマーク
<a name="configuration-vulnerability-analysis-cis"></a>

[Center for Internet Security (CIS) Kubernetes Benchmark](https://www.cisecurity.org/benchmark/kubernetes/) では、Amazon EKS のセキュリティ設定に関するガイダンスを提供しています。ベンチマーク:
+ ユーザーが Kubernetes コンポーネントのセキュリティ設定を担当する (マネージド型とセルフマネージド型の両方の) Amazon EC2 ノードに適用されます。
+ Amazon EKS の使用時に Kubernetes クラスターとノードを安全に設定できるように、コミュニティが承認した標準的な方法を提供します。
+ これは、コントロールプレーンでのログ記録の設定、ノードのセキュリティ設定、ポリシー、マネージド型サービスの 4 つのセクションで構成されます。
+ Amazon EKS で現在入手可能なすべての Kubernetes バージョンをサポートし、[kube-bench](https://github.com/aquasecurity/kube-bench) (Kubernetes クラスターで CIS ベンチマークを使用して構成をチェックするための標準的なオープンソースのツール) により実行されます。

詳細については、「[Introducing The CIS Amazon EKS Benchmark (CIS Amazon EKSベンチマークの紹介)](https://aws.amazon.com/blogs/containers/introducing-cis-amazon-eks-benchmark)」を参照してください。

CIS ベンチマークされた AMI でノードグループを更新する自動 `aws-sample` パイプラインについては、「[EKS-Optimized AMI Hardening Pipeline](https://github.com/aws-samples/pipeline-for-hardening-eks-nodes-and-automating-updates)」を参照してください。

## Amazon EKS のプラットフォームバージョン
<a name="configuration-vulnerability-analysis-pv"></a>

Amazon EKS *プラットフォームのバージョン*は、クラスターコントロールプレーンの機能を表しています。これには、Kubernetes API サーバーでどのフラグが有効であるかや、現在の Kubernetes パッチバージョンなどの情報が含まれます。新しいクラスターは、最新のプラットフォームバージョンでデプロイされます。詳細については、「[EKS platform-versions](https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html)」を参照してください。

[Amazon EKS クラスター](update-cluster.md)を更新し、新しい Kubernetes バージョンにすることができます。新しい Kubernetes バージョンが Amazon EKS で利用可能になったら、利用可能な最新のバージョンが使用できるように、クラスターをタイムリーに更新することをお勧めします。EKS での Kubernetes バージョンの詳細については、「[Amazon EKS supported versions](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html)」を参照してください。

## オペレーティングシステムの脆弱性リスト
<a name="configuration-vulnerability-analysis-os"></a>

### AL2023 脆弱性リスト
<a name="configuration-vulnerability-analysis-al2023"></a>

[Amazon Linux セキュリティセンター](https://alas.aws.amazon.com/alas2023.html)で Amazon Linux 2023 のセキュリティイベントまたはプライバシーイベントを追跡するか、関連する [RSS フィード](https://alas.aws.amazon.com/AL2023/alas.rss)をサブスクライブします。セキュリティおよびプライバシーイベントには、影響を受ける問題の概要、パッケージ、および問題を修正するためにインスタンスを更新する手順などがあります。

### Amazon Linux 2 脆弱性リスト
<a name="configuration-vulnerability-analysis-al2"></a>

[Amazon Linux セキュリティセンター](https://alas.aws.amazon.com/alas2.html)で Amazon Linux 2 のセキュリティイベントまたはプライバシーイベントを追跡するか、関連する [RSS フィード](https://alas.aws.amazon.com/AL2/alas.rss)をサブスクライブします。セキュリティおよびプライバシーイベントには、影響を受ける問題の概要、パッケージ、および問題を修正するためにインスタンスを更新する手順などがあります。

## Amazon Inspector によるノード検出
<a name="configuration-vulnerability-analysis-inspector"></a>

[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html) を使用すると、ノードからネットワークに意図しない接続が可能か、また、それらの Amazon EC2 インスタンスに脆弱性があるかを確認できます。

## Amazon GuardDuty によるクラスターとノードの検出
<a name="configuration-vulnerability-analysis-guardduty"></a>

Amazon GuardDuty は、AWS 環境内のアカウント、コンテナ、ワークロード、データを保護する脅威検知サービスです。GuardDuty には、EKS クラスターに対する潜在的な脅威を検出する EKS Protection とランタイムモニタリングの 2 つの機能があります。

詳細については、「[Amazon GuardDuty で脅威を検出する](integration-guardduty.md)」を参照してください。