Correção de exposições para clusters do Amazon EKS - AWSSecurity Hub
Características de configuração incorreta para clusters do Amazon EKSCaracterísticas de vulnerabilidade para clusters Amazon EKSO cluster Amazon EKS tem um contêiner com um sistema End-Of-Life operacionalO cluster Amazon EKS tem um contêiner com pacotes de software maliciosoO cluster EKS tem arquivos maliciosos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção de exposições para clusters do Amazon EKS

AWSO Security Hub pode gerar descobertas de exposição para clusters do Amazon Elastic Kubernetes Service (Amazon EKS).

O cluster do Amazon EKS envolvido em uma descoberta de exposição e suas informações de identificação estão listados na seção Recursos dos detalhes da descoberta. Você pode recuperar esses detalhes do recurso no console do Security Hub ou programaticamente com a GetFindingsV2operação da API CSPM do Security Hub.

Depois de identificar o recurso envolvido em uma descoberta de exposição, é possível excluir o recurso se não precisar dele. A exclusão de um recurso não essencial pode reduzir seu perfil de exposição e AWS seus custos. Se o recurso for essencial, siga estas etapas de correção recomendadas para ajudar a mitigar o risco. Os tópicos de correção são divididos com base no tipo de característica.

Uma única descoberta de exposição contém problemas identificados em vários tópicos de correção. Por outro lado, é possível abordar uma descoberta de exposição e reduzir seu nível de gravidade abordando apenas um tópico de correção. Sua abordagem para a correção de riscos depende de seus requisitos organizacionais e workloads.

nota

A orientação de remediação fornecida neste tópico pode exigir consultas adicionais em outros AWS recursos.

Características de configuração incorreta para clusters do Amazon EKS

Aqui estão as características de configuração incorreta para clusters do Amazon EKS e as etapas de correção sugeridas.

O cluster do Amazon EKS permite acesso público

O endpoint do Amazon EKS é o endpoint que é usado para comunicação com o servidor de API do Kubernetes do seu cluster. Por padrão, esse endpoint é público para a Internet. Os endpoints públicos aumentam sua área de superfície de ataque e o risco de acesso não autorizado ao servidor da API do Kubernetes, potencialmente permitindo que invasores acessem ou modifiquem recursos do cluster ou acessem dados sensíveis. Seguindo as melhores práticas de segurança, AWS recomenda restringir o acesso ao endpoint do cluster EKS somente aos intervalos de IP necessários.

Modificação do acesso ao endpoint

Na descoberta de exposição, abra o recurso. Isso abrirá o cluster do Amazon EKS afetado. É possível configurar seu cluster para usar acesso privado, acesso público ou ambos. Com o acesso privado, as solicitações de API do Kubernetes originadas de dentro da VPC do cluster usarão o endpoint da VPC privado. Com o acesso público, as solicitações de API do Kubernetes originadas de fora da VPC do cluster usarão o endpoint público.

Modificação ou remoção do acesso público ao cluster

Para modificar o acesso ao endpoint para um cluster existente, consulte Modificação do acesso ao endpoint do cluster no Guia do usuário do Amazon Elastic Kubernetes Service. Implemente regras mais restritivas com base em intervalos de IP ou grupos de segurança específicos. Se um acesso público limitado for necessário, restrinja o acesso a intervalos de blocos CIDR específicos ou use listas de prefixos.

O cluster do Amazon EKS usa uma versão sem suporte do Kubernetes

O Amazon EKS oferece suporte a cada versão do Kubernetes por um período limitado de tempo. A execução de clusters com versões sem suporte do Kubernetes pode expor seu ambiente a vulnerabilidades de segurança, pois os patches de CVE deixarão de ser lançados para versões desatualizadas. As versões sem suporte podem conter vulnerabilidades de segurança conhecidas que podem ser exploradas por invasores e não ter atributos de segurança que possam estar disponíveis em versões mais recentes. Seguindo as melhores práticas de segurança, AWS recomenda manter sua versão do Kubernetes atualizada.

Atualizar a versão do Kubernetes

Na descoberta de exposição, abra o recurso. Isso abrirá o cluster do Amazon EKS afetado. Antes de atualizar o seu cluster, consulte Versões disponíveis sob suporte padrão no Guia do usuário do Amazon Elastic Kubernetes Service para obter uma lista das versões do Kubernetes atualmente com suporte.

O cluster do Amazon EKS usa segredos não criptografados do Kubernetes

Os segredos do Kubernetes são, por padrão, armazenados sem criptografia no armazenamento de dados subjacente do servidor de API (etcd). Qualquer usuário com acesso à API ou ao etcd pode recuperar ou modificar um segredo. Para evitar isso, é necessário criptografar os segredos do Kubernetes em repouso. Se os segredos do Kubernetes não forem criptografados, eles estarão vulneráveis a acesso não autorizado se o etcd for comprometido. Como os segredos geralmente contêm informações sensíveis, como senhas e tokens de API, sua exposição pode levar a acesso não autorizado a outras aplicações e dados. Seguindo as melhores práticas de segurança, AWS recomenda criptografar todas as informações confidenciais armazenadas nos segredos do Kubernetes.

Criptografia de segredos do Kubernetes

O Amazon EKS oferece suporte à criptografia de segredos do Kubernetes usando chaves do KMS por meio da criptografia envelopada. Para habilitar a criptografia de segredos do Kubernetes para seu cluster do EKS, consulte Criptografia de segredos do Kubernetes com o KMS em clusters existentes no Guia do usuário do Amazon EKS.

Características de vulnerabilidade para clusters Amazon EKS

Aqui estão as características de vulnerabilidade dos clusters do Amazon EKS.

O cluster do Amazon EKS tem um contêiner com vulnerabilidades de software que podem ser exploradas pela rede com uma alta probabilidade de exploração

Pacotes de software instalados em clusters EKS podem ser expostos a vulnerabilidades e exposições comuns (). CVEs Os críticos CVEs representam riscos de segurança significativos para seu AWS ambiente. Usuários não autorizados podem explorar essas vulnerabilidades sem correção e comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou acessar outros sistemas. Vulnerabilidades críticas com alta probabilidade de exploração representam ameaças imediatas à segurança, pois o código de exploração pode já estar disponível publicamente e ser usado ativamente por invasores ou por ferramentas de verificação automatizadas. Seguindo as melhores práticas de segurança, AWS recomenda corrigir essas vulnerabilidades para proteger sua instância contra ataques.

Atualização das instâncias afetadas

Atualize suas imagens de contêiner para versões mais recentes que incluam correções de segurança para as vulnerabilidades identificadas. Isso normalmente envolve reconstruir suas imagens de contêineres com imagens básicas ou dependências atualizadas e, em seguida, implantar as novas imagens em seu cluster do Amazon EKS.

O cluster do Amazon EKS tem um contêiner com vulnerabilidades de software

Os pacotes de software instalados nos clusters do Amazon EKS podem ser expostos a vulnerabilidades e exposições comuns (). CVEs Os não críticos CVEs representam pontos fracos de segurança com menor gravidade ou capacidade de exploração em comparação com os críticos. CVEs Embora essas vulnerabilidades apresentem risco menos imediato, os invasores ainda podem explorar essas vulnerabilidades sem correção e comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou acessar outros sistemas. Seguindo as melhores práticas de segurança, AWS recomenda corrigir essas vulnerabilidades para proteger sua instância contra ataques.

Atualização das instâncias afetadas

Atualize suas imagens de contêiner para versões mais recentes que incluam correções de segurança para as vulnerabilidades identificadas. Isso normalmente envolve reconstruir suas imagens de contêineres com imagens básicas ou dependências atualizadas e, em seguida, implantar as novas imagens em seu cluster do Amazon EKS.

O cluster Amazon EKS tem um contêiner com um sistema End-Of-Life operacional

A imagem do contêiner Amazon EKS depende de um sistema end-of-life operacional que não é mais suportado nem mantido pelo desenvolvedor original. Isso expõe o contêiner a vulnerabilidades de segurança e possíveis ataques. Quando os sistemas operacionais chegam end-of-life, os fornecedores geralmente param de lançar novos avisos de segurança. Os alertas de segurança existentes também podem ser removidos dos feeds do fornecedor. Como resultado, o Amazon Inspector poderia potencialmente parar de gerar descobertas conhecidas CVEs, criando mais lacunas na cobertura de segurança.

Consulte Sistemas operacionais descontinuados no Guia do Usuário do Amazon Inspector para obter informações sobre sistemas operacionais que chegaram ao fim da vida útil e que podem ser detectados pelo Amazon Inspector.

Atualização para uma versão compatível do sistema operacional

Recomendamos atualizar para uma versão compatível do sistema operacional. Na descoberta de exposição, abra o recurso para acessar o recurso afetado. Antes de atualizar a versão do sistema operacional na imagem do seu contêiner, revise as versões disponíveis em Sistemas operacionais compatíveis no Guia do usuário do Amazon Inspector para obter uma lista das versões do sistema operacional atualmente suportadas. Depois de atualizar sua imagem de contêiner, reconstrua e reimplante seus contêineres no cluster Amazon EKS.

O cluster Amazon EKS tem um contêiner com pacotes de software malicioso

Pacotes maliciosos são componentes de software que contêm códigos nocivos projetados para comprometer a confidencialidade, a integridade e a disponibilidade de seus sistemas e dados. Pacotes maliciosos representam uma ameaça ativa e crítica ao seu cluster Amazon EKS, pois os invasores podem executar códigos maliciosos automaticamente sem explorar uma vulnerabilidade. Seguindo as melhores práticas de segurança, AWS recomenda a remoção de pacotes maliciosos para proteger seu cluster de possíveis ataques.

Remover pacotes maliciosos

Examine os detalhes do pacote malicioso na seção Referências da guia Vulnerabilidade da característica para entender a ameaça. Remova os pacotes maliciosos identificados das imagens do seu contêiner. Em seguida, exclua os pods com a imagem comprometida. Atualize suas implantações do Kubernetes para usar as imagens de contêiner atualizadas. Em seguida, implante suas alterações e reimplante seus pods.

O cluster EKS tem arquivos maliciosos

Arquivos maliciosos contêm códigos nocivos projetados para comprometer a confidencialidade, integridade e disponibilidade de seus sistemas e dados. Arquivos maliciosos representam uma ameaça ativa e crítica ao seu cluster, pois os invasores podem executar códigos maliciosos automaticamente sem explorar uma vulnerabilidade. Seguindo as melhores práticas de segurança, AWS recomenda a remoção de arquivos maliciosos para proteger seu cluster de possíveis ataques.

Remover arquivos maliciosos

Para identificar o volume específico do Amazon Elastic Block Store (Amazon EBS) que tem arquivos maliciosos, revise a seção Recursos dos detalhes da descoberta da característica. Depois de identificar o volume com o arquivo malicioso, remova os arquivos maliciosos identificados. Depois de remover os arquivos maliciosos, considere realizar uma verificação para garantir que todos os arquivos que possam ter sido instalados pelo arquivo malicioso tenham sido removidos. Para obter mais informações, consulte Iniciando a verificação de malware sob demanda GuardDuty no.