分析 Amazon EKS 中的漏洞 - Amazon EKS
Amazon EKS 的網際網路安全中心 (CIS) 基準測試Amazon EKS 平台版本作業系統漏洞清單使用 Amazon Inspector 進行節點偵測使用 Amazon GuardDuty 進行叢集和節點偵測

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格中的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

分析 Amazon EKS 中的漏洞

安全性是設定和維護 Kubernetes 叢集和應用程式的重要考量因素。以下列出可供您分析 EKS 叢集安全組態的資源、可供您檢查漏洞的資源,以及可為您執行該分析 AWS 的服務整合。

Amazon EKS 的網際網路安全中心 (CIS) 基準測試

Center for Internet Security (CIS) Kubernetes Benchmark 提供 Amazon EKS 安全組態的指引。基準化分析:

  • 適用於您負責 Kubernetes 元件的安全組態的 Amazon EC2 節點 (受管和自我管理)。

  • 提供經社群核准的標準方式,以確保您在使用 Amazon EKS 時能安全地設定 Kubernetes 叢集和節點。

  • 由四個部分組成:控制平面記錄設定、節點安全設定、政策和受管服務。

  • 支援 Amazon EKS 目前可用的所有 Kubernetes 版本,並且可以使用 kube-bench 予以執行,這是一個標準開源工具,可用於在 Kubernetes 叢集上使用 CIS 基準檢查組態。

若要進一步了解,請參閱 CIS Amazon EKS 基準簡介

如需使用 CIS 基準 AMI 更新節點群組的自動化aws-sample管道,請參閱 EKS 最佳化 AMI 強化管道

Amazon EKS 平台版本

Amazon EKS 平台版本代表叢集控制平面的功能,包括啟用哪些 Kubernetes API 伺服器旗標和目前的 Kubernetes 修補程式版本。新叢集是使用最新的平台版本部署。如需詳細資訊,請參閱 eks/latest/userguide/platform-versions.html【EKS platform-versions,type="documentation"】。

您可以將 Amazon EKS 叢集更新為較新的 Kubernetes 版本。由於 Amazon EKS 會提供新的 Kubernetes 版本,所以我們建議您主動更新您的叢集,以便使用最新的可用版本。如需 EKS 中 Kubernetes 版本的詳細資訊,請參閱 eks/latest/userguide/kubernetes-versions.html【Amazon EKS 支援的版本,type="documentation"】。

作業系統漏洞清單

AL2023 漏洞清單

在 Amazon Linux 安全中心追蹤 Amazon Linux 2023 的安全或隱私權事件,或訂閱相關聯的 RSS 摘要。安全與隱私權事件包括影響問題的概觀和套件,並說明如何更新執行個體以修正問題。

Amazon Linux 2 漏洞清單

可以透過 Amazon Linux 安全中心或是訂閱關聯的 RSS 摘要,追蹤 Amazon Linux 2 的安全或隱私權事件。安全與隱私權事件包括影響問題的概觀和套件,並說明如何更新執行個體以修正問題。

使用 Amazon Inspector 進行節點偵測

您可以使用 Amazon Inspector 檢查節點是否有意外的網路存取問題,以及 Amazon EC2 執行個體是否有漏洞。

使用 Amazon GuardDuty 進行叢集和節點偵測

Amazon GuardDuty 威脅偵測服務,可協助保護您 AWS 環境中的帳戶、容器、工作負載和資料。GuardDuty 提供下列兩種功能,可偵測對 EKS 叢集的潛在威脅:EKS 保護執行期監控

如需詳細資訊,請參閱使用 Amazon GuardDuty 偵測威脅