Amazon EKS クラスターの露出の修正 - AWSSecurity Hub
Amazon EKS クラスターの設定ミス特性Amazon EKS クラスターの脆弱性特性Amazon EKS クラスターにはEnd-Of-Life オペレーティングシステムを備えたコンテナがあります。Amazon EKS クラスターに悪意のあるソフトウェアパッケージを含むコンテナがあるEKS クラスターに悪意のあるファイルがある

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EKS クラスターの露出の修正

AWSSecurity Hub は、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターの公開結果を生成できます。

露出の検出結果に関連する Amazon EKS クラスターとその識別情報は、検出結果の詳細の [リソース] セクションに一覧表示されます。これらのリソースの詳細は、Security Hub コンソールで取得することも、Security Hub CSPM API の GetFindingsV2オペレーションを使用してプログラムで取得することもできます。

露出の検出結果に関連するリソースを特定したら、不要なリソースを削除できます。不要なリソースを削除すると、露出プロファイルとAWSコストを削減できます。リソースが不可欠な場合は、以下の推奨される修復手順に従ってリスクを軽減します。修復トピックは、特性のタイプに基づいて分割されます。

1 つの露出の検出結果には、複数の修復トピックで特定された問題が含まれます。逆に、1 つの修復トピックだけに対処することで、露出の検出結果に対処し、その重要度レベルを下げることができます。リスク修復へのアプローチは、組織の要件とワークロードによって異なります。

注記

このトピックで提供される修復ガイダンスでは、他のAWSリソースで追加の相談が必要になる場合があります。

Amazon EKS クラスターの設定ミス特性

Amazon EKS クラスターの設定ミスの特性と推奨される修復手順は次のとおりです。

Amazon EKS クラスターがパブリックアクセスを許可する

Amazon EKS クラスターのエンドポイントは、クラスターの Kubernetes API サーバーとの通信に使用するエンドポイントです。デフォルトでは、このエンドポイントはインターネットで公開されています。パブリックエンドポイントは、アタックサーフェス領域と Kubernetes API サーバーへの不正アクセスのリスクを高めるため、攻撃者がクラスターリソースにアクセスまたは変更したり、機密データにアクセスしたりできる可能性があります。セキュリティのベストプラクティスに従って、 は EKS クラスターエンドポイントへのアクセスを必要な IP 範囲のみに制限AWSすることをお勧めします。

エンドポイントへのアクセスを変更する

露出の検出結果で、リソースを開きます。これにより、影響を受ける Amazon EKS クラスターが開きます。プライベートアクセス、パブリックアクセス、またはその両方を使用するようにクラスターを設定できます。プライベートアクセスでは、クラスターの VPC 内から送信される Kubernetes API リクエストは、プライベート VPC エンドポイントを使用します。パブリックアクセスでは、クラスターの VPC の外部から送信される Kubernetes API リクエストは、パブリックエンドポイントを使用します。

クラスターへのパブリックアクセスの変更または削除

既存のクラスターのエンドポイントアクセスを変更するには、「Amazon Elastic Kubernetes Service ユーザーガイド」の「クラスターエンドポイントのアクセスの変更」を参照してください。特定の IP 範囲またはセキュリティグループに基づいて、より制限の厳しいルールを実装します。制限されたパブリックアクセスが必要な場合は、特定の CIDR ブロック範囲へのアクセスを制限するか、プレフィックスリストを使用します。

Amazon EKS クラスターがサポートされていない Kubernetes バージョンを使用する

Amazon EKS は、各 Kubernetes バージョンを一定期間サポートします。サポートされていない Kubernetes バージョンでクラスターを実行すると、CVE パッチが古いバージョンでリリースされなくなるため、環境がセキュリティの脆弱性にさらされる可能性があります。サポートされていないバージョンには、攻撃者が悪用する可能性のある既知のセキュリティ脆弱性が含まれており、新しいバージョンで使用できるセキュリティ機能がない可能性があります。セキュリティのベストプラクティスに従って、 は Kubernetes バージョンを更新しておくAWSことをお勧めします。

Kubernetes バージョンを更新する

露出の検出結果で、リソースを開きます。これにより、影響を受ける Amazon EKS クラスターが開きます。クラスターを更新する前に、「Amazon Elastic Kubernetes Service ユーザーガイド」の「標準サポートで利用可能なバージョン」で、現在サポートされている Kubernetes バージョンのリストを確認してください。

Amazon EKS クラスターが暗号化されていない Kubernetes シークレットを使用する

Kubernetes シークレットは、デフォルトで API サーバーの基盤となるデータストア (etcd) に暗号化されずに保存されます。API アクセスまたは etcd のアクセス権を持つユーザーは、シークレットを取得または変更できます。これを防ぐには、保管中の Kubernetes シークレットを暗号化する必要があります。Kubernetes シークレットが暗号化されていない場合、etcd が侵害されると不正アクセスに対して脆弱になります。シークレットにはパスワードや API トークンなどの機密情報が含まれていることが多いため、シークレットが露出されると、他のアプリケーションやデータへの不正アクセスにつながる可能性があります。セキュリティのベストプラクティスに従って、 は Kubernetes シークレットに保存されているすべての機密情報を暗号化AWSすることをお勧めします。

Kubernetes シークレットの暗号化

Amazon EKS は、エンベロープ暗号化による KMS キーを使用した Kubernetes シークレットの暗号化をサポートしています。EKS クラスターの Kubernetes シークレットの暗号化を有効にするには、「Amazon EKS ユーザーガイド」の「既存のクラスターで KMS を使用して Kubernetes シークレットを暗号化する」を参照してください。

Amazon EKS クラスターの脆弱性特性

Amazon EKS クラスターの脆弱性特性は次のとおりです。

Amazon EKS クラスターには、ネットワークで悪用される可能性の高いソフトウェアの脆弱性があるコンテナがあります。

EKS クラスターにインストールされているソフトウェアパッケージは、共通脆弱性識別子 (CVE) に公開される可能性があります。重要な CVEsAWS、環境に重大なセキュリティリスクをもたらします。権限のないユーザーは、こうしたパッチが適用されていない脆弱性を利用し、データの機密性、完全性、可用性を侵害したり、他のシステムにアクセスしたりする可能性があります。悪用の可能性の高い重大な脆弱性は即時のセキュリティ脅威を意味します。なぜなら、エクスプロイトコードはすでに公開されており、攻撃者や自動スキャンツールによってアクティブに使用されている可能性があるためです。セキュリティのベストプラクティスに従って、 は、インスタンスを攻撃から保護するために、これらの脆弱性にパッチを適用AWSすることをお勧めします。

影響を受けるインスタンスを更新する

コンテナイメージを、特定された脆弱性のセキュリティ修正を含む新しいバージョンに更新します。これには通常、更新されたベースイメージまたは依存関係を使用してコンテナイメージを再構築し、新しいイメージを Amazon EKS クラスターにデプロイする必要があります。

Amazon EKS クラスターにソフトウェアの脆弱性があるコンテナがある

Amazon EKS クラスターにインストールされているソフトウェアパッケージは、共通脆弱性識別子 (CVE) に公開される可能性があります。重要でない CVE とは、重要な CVE と比較して重要度や悪用可能性が低いセキュリティの弱点を示します。これらの脆弱性は差し迫ったリスクは低いものの、攻撃者は、こうしたパッチが適用されていない脆弱性を利用し、データの機密性、完全性、可用性を侵害したり、他のシステムにアクセスしたりする可能性があります。セキュリティのベストプラクティスに従って、 は、インスタンスを攻撃から保護するために、これらの脆弱性にパッチを適用AWSすることをお勧めします。

影響を受けるインスタンスを更新する

コンテナイメージを、特定された脆弱性のセキュリティ修正を含む新しいバージョンに更新します。これには通常、更新されたベースイメージまたは依存関係を使用してコンテナイメージを再構築し、新しいイメージを Amazon EKS クラスターにデプロイする必要があります。

Amazon EKS クラスターにはEnd-Of-Life オペレーティングシステムを備えたコンテナがあります。

Amazon EKS コンテナイメージは、元の開発者によってサポートまたは保守されなくなったend-of-lifeオペレーティングシステムに依存しています。これにより、コンテナがセキュリティの脆弱性と潜在的な攻撃にさらされます。オペレーティングシステムend-of-life、ベンダーは通常、新しいセキュリティアドバイザリのリリースを停止します。既存のセキュリティアドバイザリは、ベンダーフィードから削除することもできます。その結果、Amazon Inspector は既知の CVEs の検出結果の生成を停止し、セキュリティカバレッジにさらなるギャップが生じる可能性があります。

Amazon Inspector で検出できるサポート終了に達したオペレーティングシステムの詳細については、Amazon Inspector ユーザーガイド」の「廃止されたオペレーティングシステム」を参照してください。 Amazon Inspector

サポートされているオペレーティングシステムバージョンへの更新

サポートされているバージョンのオペレーティングシステムに更新することをお勧めします。公開結果で、リソースを開いて、影響を受けるリソースにアクセスします。コンテナイメージのオペレーティングシステムのバージョンを更新する前に、Amazon Inspector ユーザーガイドのサポートされているオペレーティングシステムで、現在サポートされている OS バージョンのリストを確認してください。コンテナイメージを更新したら、コンテナを再構築して Amazon EKS クラスターに再デプロイします。

Amazon EKS クラスターに悪意のあるソフトウェアパッケージを含むコンテナがある

悪意のあるパッケージは、システムとデータの機密性、完全性、可用性を侵害するように設計された有害なコードを含むソフトウェアコンポーネントです。悪意のあるパッケージは、攻撃者が脆弱性を悪用することなく悪意のあるコードを自動的に実行できるため、Amazon EKS クラスターにアクティブで重大な脅威をもたらします。セキュリティのベストプラクティスに従って、 では、潜在的な攻撃からクラスターを保護するために悪意のあるパッケージを削除AWSすることをお勧めします。

悪意のあるパッケージを削除する

脅威を理解するには、特性の脆弱性タブの「リファレンス」セクションにある悪意のあるパッケージの詳細を確認します。コンテナイメージから特定された悪意のあるパッケージを削除します。次に、侵害されたイメージを持つポッドを削除します。更新されたコンテナイメージを使用するように Kubernetes デプロイを更新します。次に、変更をデプロイし、ポッドを再デプロイします。

EKS クラスターに悪意のあるファイルがある

悪意のあるファイルには、システムとデータの機密性、完全性、可用性を侵害するように設計された有害なコードが含まれています。攻撃者は脆弱性を悪用することなく悪意のあるコードを自動的に実行できるため、悪意のあるファイルはクラスターにアクティブで重大な脅威をもたらします。セキュリティのベストプラクティスに従って、 では、潜在的な攻撃からクラスターを保護するために、悪意のあるファイルを削除AWSすることをお勧めします。

悪意のあるファイルを削除する

悪意のあるファイルがある特定の Amazon Elastic Block Store (Amazon EBS) ボリュームを特定するには、特性の検出結果の詳細のリソースセクションを確認してください。悪意のあるファイルでボリュームを特定したら、特定された悪意のあるファイルを削除します。悪意のあるファイルを削除したら、スキャンを実行して、悪意のあるファイルによってインストールされた可能性のあるすべてのファイルが削除されていることを確認することを検討してください。詳細については、のGuardDuty でのオンデマンドマルウェアスキャンの開始」を参照してください