Amazon EKS 클러스터에 대한 노출 문제 해결 - AWS Security Hub
Amazon EKS 클러스터의 잘못된 구성 특성Amazon EKS 클러스터의 취약성 특성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EKS 클러스터에 대한 노출 문제 해결

AWS Security Hub는 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 대한 노출 조사 결과를 생성할 수 있습니다.

노출 조사 결과와 관련된 Amazon EKS 클러스터 및 해당 식별 정보는 조사 결과 세부 정보의 리소스 섹션에 나열됩니다. 이러한 리소스 세부 정보는 Security Hub 콘솔에서 검색하거나 Security Hub CSPM API의 GetFindingsV2 작업을 통해 프로그래밍 방식으로 검색할 수 있습니다.

노출 조사 결과와 관련된 리소스를 식별한 후 필요하지 않은 경우 리소스를 삭제할 수 있습니다. 필수적이지 않은 리소스를 삭제하면 노출 프로필과 AWS 비용을 줄일 수 있습니다. 리소스가 필수적인 경우 다음 권장 문제 해결 단계를 수행하여 위험을 완화하세요. 문제 해결 주제는 특성 유형에 따라 구분됩니다.

단일 노출 조사 결과에는 여러 문제 해결 주제에서 식별된 문제가 포함됩니다. 반대로, 하나의 문제 해결 주제만 처리하여 노출 조사 결과를 해결하고 심각도 수준을 낮출 수 있습니다. 위험 문제 해결에 대한 접근 방식은 조직의 요구 사항 및 워크로드에 따라 달라집니다.

참고

이 주제에 제공된 문제 해결 지침에 따라 다른 AWS 리소스에서 추가 상담이 필요할 수 있습니다.

Amazon EKS 클러스터의 잘못된 구성 특성

다음은 Amazon EKS 클러스터의 잘못된 구성 특성 및 제안된 문제 해결 단계입니다.

Amazon EKS 클러스터가 퍼블릭 액세스를 허용

Amazon EKS 클러스터 엔드포인트는 클러스터의 Kubernetes API 서버와 통신하는 데 사용하는 엔드포인트입니다. 기본적으로 이 엔드포인트는 인터넷에 공개됩니다. 퍼블릭 엔드포인트는 공격 표면 영역과 Kubernetes API 서버에 대한 무단 액세스 위험을 증가시켜 공격자가 클러스터 리소스에 액세스하거나 수정하거나 민감한 데이터에 액세스할 수 있습니다. 보안 모범 사례에 따라는 EKS 클러스터 엔드포인트에 대한 액세스를 필요한 IP 범위로만 제한하는 것이 AWS 좋습니다.

엔드포인트 액세스 수정

노출 조사 결과에서 리소스를 엽니다. 그러면 영향을 받는 Amazon EKS 클러스터가 열립니다. 프라이빗 액세스, 퍼블릭 액세스 또는 둘 다를 사용하도록 클러스터를 구성할 수 있습니다. 프라이빗 액세스를 사용하면 클러스터의 VPC 내에서 비롯된 Kubernetes API 요청이 프라이빗 VPC 엔드포인트를 사용합니다. 퍼블릭 액세스를 사용하면 클러스터의 VPC 외부에서 시작된 Kubernetes API 요청이 퍼블릭 엔드포인트를 사용합니다.

클러스터에 대한 퍼블릭 액세스 수정 또는 제거

기존 클러스터의 엔드포인트 액세스를 수정하려면 Amazon Elastic Kubernetes Service 사용 설명서클러스터 엔드포인트 액세스 수정을 참조하세요. 특정 IP 범위 또는 보안 그룹을 기반으로 보다 제한적인 규칙을 구현합니다. 제한된 퍼블릭 액세스가 필요한 경우 액세스를 특정 CIDR 블록 범위로 제한하거나 접두사 목록을 사용합니다.

Amazon EKS 클러스터가 지원되지 않는 Kubernetes 버전을 사용

Amazon EKS는 각 Kubernetes 버전을 제한된 기간 동안 지원합니다. 오래된 버전에 대해서는 CVE 패치가 릴리스되지 않으므로, 지원되지 않는 Kubernetes 버전으로 클러스터를 실행하면 환경이 보안 취약성에 노출될 수 있습니다. 지원되지 않는 버전에는 공격자가 악용할 수 있는 알려진 보안 취약성이 포함될 수 있고 최신 버전에서 사용할 수 있는 보안 기능이 없을 수 있습니다. 보안 모범 사례에 따라는 Kubernetes 버전을 업데이트하는 것을 AWS 권장합니다.

Kubernetes 버전 업데이트

노출 조사 결과에서 리소스를 엽니다. 그러면 영향을 받는 Amazon EKS 클러스터가 열립니다. 클러스터를 업데이트하기 전에 Amazon Elastic Kubernetes Service 사용 설명서표준 지원으로 사용 가능한 버전에서 현재 지원되는 Kubernetes 버전 목록을 검토하세요.

Amazon EKS 클러스터가 암호화되지 않은 Kubernetes 시크릿을 사용

기본적으로 Kubernetes 시크릿은 API 서버의 기본 데이터 저장소(etcd)에 암호화되지 않은 상태로 저장됩니다. API 액세스 또는 etcd에 대한 액세스 권한이 있는 모든 사용자는 시크릿을 검색하거나 수정할 수 있습니다. 이를 방지하려면 Kubernetes 시크릿을 저장 시 암호화해야 합니다. Kubernetes 시크릿이 암호화되지 않은 경우 etcd가 손상되면 무단 액세스에 취약합니다. 시크릿에는 암호, API 토큰과 같은 민감한 정보가 포함되어 있는 경우가 많기 때문에 노출되면 다른 애플리케이션 및 데이터에 대한 무단 액세스로 이어질 수 있습니다. 보안 모범 사례에 따라는 Kubernetes 보안 암호에 저장된 모든 민감한 정보를 암호화하는 것이 AWS 좋습니다.

Kubernetes 시크릿 암호화

Amazon EKS는 봉투 암호화를 통해 KMS 키를 사용하는 Kubernetes 시크릿 암호화를 지원합니다. EKS 클러스터에 대해 Kubernetes 시크릿 암호화를 활성화하려면 Amazon EKS 사용 설명서기존 클러스터에서 KMS를 사용하여 Kubernetes 시크릿 암호화를 참조하세요.

Amazon EKS 클러스터의 취약성 특성

다음은 Amazon EKS 클러스터의 취약성 특성입니다.

Amazon EKS 클러스터에 악용 가능성이 높은 네트워크 탐색 가능 소프트웨어 취약성이 있는 컨테이너가 있음

EKS 클러스터에 설치된 소프트웨어 패키지는 일반 취약성 및 노출(CVE)에 노출될 수 있습니다. 중요 CVEs AWS 환경에 심각한 보안 위험을 초래합니다. 권한이 없는 사용자는 이러한 패치되지 않은 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. 악용 가능성이 높은 심각한 취약성은 악용 코드가 이미 공개되어 있고 공격자 또는 자동 스캔 도구가 이를 적극적으로 사용할 수 있으므로 즉각적인 보안 위협을 나타냅니다. 보안 모범 사례에 따라는 이러한 취약성을 패치하여 인스턴스를 공격으로부터 보호하는 것이 AWS 좋습니다.

영향을 받는 인스턴스 업데이트

컨테이너 이미지를 식별된 취약성에 대한 보안 수정 사항이 포함된 최신 버전으로 업데이트합니다. 여기에는 일반적으로 업데이트된 기본 이미지 또는 종속성을 사용하여 컨테이너 이미지를 재구축한 다음 새 이미지를 Amazon EKS 클러스터에 배포하는 작업이 포함됩니다.

Amazon EKS 클러스터에 소프트웨어 취약성이 있는 컨테이너가 있음

Amazon EKS 클러스터에 설치된 소프트웨어 패키지는 일반 취약성 및 노출(CVE)에 노출될 수 있습니다. 비중요 CVE는 중요 CVE에 비해 심각도 또는 악용 가능성이 낮은 보안 약점을 나타냅니다. 이러한 취약점은 즉각적인 위험을 초래하지는 않지만, 공격자는 이러한 패치되지 않은 취약성을 악용하여 데이터의 기밀성, 무결성 또는 가용성을 손상시키거나 다른 시스템에 액세스할 수 있습니다. 보안 모범 사례에 따라는 이러한 취약성을 패치하여 인스턴스를 공격으로부터 보호하는 것이 AWS 좋습니다.

영향을 받는 인스턴스 업데이트

컨테이너 이미지를 식별된 취약성에 대한 보안 수정 사항이 포함된 최신 버전으로 업데이트합니다. 여기에는 일반적으로 업데이트된 기본 이미지 또는 종속성을 사용하여 컨테이너 이미지를 재구축한 다음 새 이미지를 Amazon EKS 클러스터에 배포하는 작업이 포함됩니다.

Amazon EKS 클러스터에는 End-Of-Life 운영 체제가 있는 컨테이너가 있습니다.

Amazon EKS 컨테이너 이미지는 원래 개발자가 더 이상 지원하지 않거나 유지 관리하지 않는 end-of-life 운영 체제를 사용합니다. 이렇게 하면 컨테이너가 보안 취약성 및 잠재적 공격에 노출됩니다. 운영 체제end-of-life하면 공급업체는 일반적으로 새 보안 권고 릴리스를 중지합니다. 공급업체 피드에서 기존 보안 권고를 제거할 수도 있습니다. 따라서 Amazon InspectorCVEs에 대한 결과 생성을 잠재적으로 중지하여 보안 적용 범위에 추가 격차를 초래할 수 있습니다.

Amazon Inspector에서 감지할 수 있는 수명이 다한 운영 체제에 대한 자세한 내용은 Amazon Inspector 사용 설명서의 중단된 운영 체제를 참조하세요. Amazon Inspector

지원되는 운영 체제 버전으로 업데이트

지원되는 운영 체제 버전으로 업데이트하는 것이 좋습니다. 노출 조사 결과에서 리소스를 열어 영향을 받는 리소스에 액세스합니다. 컨테이너 이미지에서 운영 체제 버전을 업데이트하기 전에 현재 지원되는 OS 버전 목록은 Amazon Inspector 사용 설명서의 지원되는 운영 체제에서 사용 가능한 버전을 검토하세요. Amazon Inspector 컨테이너 이미지를 업데이트한 후 컨테이너를 다시 빌드하고 Amazon EKS 클러스터에 다시 배포합니다.

Amazon EKS 클러스터에는 악성 소프트웨어 패키지가 있는 컨테이너가 있습니다.

악성 패키지는 시스템 및 데이터의 기밀성, 무결성 및 가용성을 손상시키도록 설계된 유해한 코드가 포함된 소프트웨어 구성 요소입니다. 공격자는 취약성을 악용하지 않고 악성 코드를 자동으로 실행할 수 있으므로 악성 패키지는 Amazon EKS 클러스터에 활성적이고 중요한 위협을 가합니다. 보안 모범 사례에 따라는 잠재적 공격으로부터 클러스터를 보호하기 위해 악성 패키지를 제거하는 것을 AWS 권장합니다.

악성 패키지 제거

특성의 취약성 탭에 있는 참조 섹션에서 악성 패키지 세부 정보를 검토하여 위협을 이해합니다. 컨테이너 이미지에서 식별된 악성 패키지를 제거합니다. 그런 다음 손상된 이미지가 있는 포드를 삭제합니다. 업데이트된 컨테이너 이미지를 사용하도록 Kubernetes 배포를 업데이트합니다. 그런 다음 변경 사항을 배포하고 포드를 다시 배포합니다.

EKS 클러스터에 악성 파일이 있음

악성 파일에는 시스템 및 데이터의 기밀성, 무결성 및 가용성을 손상시키도록 설계된 유해한 코드가 포함되어 있습니다. 공격자는 취약성을 악용하지 않고 악성 코드를 자동으로 실행할 수 있으므로 악성 파일은 클러스터에 활성적이고 중요한 위협을 가합니다. 보안 모범 사례에 따라는 잠재적 공격으로부터 클러스터를 보호하기 위해 악성 파일을 제거하는 것을 AWS 권장합니다.

악성 파일 제거

악성 파일이 있는 특정 Amazon Elastic Block Store(Amazon EBS) 볼륨을 식별하려면 특성 결과 세부 정보의 리소스 섹션을 검토하세요. 악성 파일로 볼륨을 식별했으면 식별된 악성 파일을 제거합니다. 악성 파일을 제거한 후에는 스캔을 수행하여 악성 파일에 의해 설치되었을 수 있는 모든 파일이 제거되었는지 확인하는 것이 좋습니다. 자세한 내용은의 GuardDuty에서 온디맨드 맬웨어 스캔 시작을 참조하세요.