**協助改進此頁面** 

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

若要為本使用者指南貢獻內容，請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 分析 Amazon EKS 中的漏洞
<a name="configuration-vulnerability-analysis"></a>

安全性是設定和維護 Kubernetes 叢集和應用程式的重要考量因素。以下列出可供您分析 EKS 叢集安全組態的資源、供您檢查漏洞的資源，以及可為您執行該分析 AWS 的服務整合。

## Center for Internet Security (CIS) 的 Amazon EKS 基準
<a name="configuration-vulnerability-analysis-cis"></a>

[Center for Internet Security (CIS) Kubernetes 基準](https://www.cisecurity.org/benchmark/kubernetes/)提供 Amazon EKS 安全組態的指導。基準化分析：
+ 適用於您負責 Kubernetes 元件的安全組態的 Amazon EC2 節點 (受管和自我管理)。
+ 提供經社群核准的標準方式，以確保您在使用 Amazon EKS 時能安全地設定 Kubernetes 叢集和節點。
+ 由四個部分組成：控制平面記錄設定、節點安全設定、政策和受管服務。
+ 支援 Amazon EKS 目前可用的所有 Kubernetes 版本，並且可以使用 [kube-bench](https://github.com/aquasecurity/kube-bench) 予以執行，這是一個標準開源工具，可用於在 Kubernetes 叢集上使用 CIS 基準檢查組態。

若要進一步了解，請參閱 [CIS Amazon EKS 基準簡介](https://aws.amazon.com/blogs/containers/introducing-cis-amazon-eks-benchmark)。

有關使用符合 CIS 基準的 AMI 更新節點群組的自動化 `aws-sample` 管道，請參閱 [EKS 最佳化 AMI 強化管道](https://github.com/aws-samples/pipeline-for-hardening-eks-nodes-and-automating-updates)。

## Amazon EKS 平台版本
<a name="configuration-vulnerability-analysis-pv"></a>

Amazon EKS *平台版本*代表叢集控制平面的功能，包括啟用了哪些 Kubernetes API 伺服器旗標，以及目前的 Kubernetes 修補程式版本。新叢集是使用最新的平台版本部署。如需詳細資訊，請參閱 [EKS 平台版本](https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html)。

您可以將 [Amazon EKS 叢集更新](update-cluster.md)為較新的 Kubernetes 版本。在 Amazon EKS 中提供新的 Kubernetes 版本時，我們建議您主動更新您的叢集，以便使用最新的可用版本。有關 EKS 中 Kubernetes 版本的更多資訊，請參閱 [Amazon EKS-Anywhere 支援的版本](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html)。

## 作業系統漏洞清單
<a name="configuration-vulnerability-analysis-os"></a>

### AL2023 漏洞清單
<a name="configuration-vulnerability-analysis-al2023"></a>

可以透過 [Amazon Linux 安全中心](https://alas.aws.amazon.com/alas2023.html)或是訂閱關聯的 [RSS 摘要](https://alas.aws.amazon.com/AL2023/alas.rss)，追蹤 Amazon Linux 2023 的安全或隱私權事件。安全與隱私權事件包括影響問題的概觀和套件，並說明如何更新執行個體以修正問題。

### Amazon Linux 2 漏洞清單
<a name="configuration-vulnerability-analysis-al2"></a>

可以透過 [Amazon Linux 安全中心](https://alas.aws.amazon.com/alas2.html)或是訂閱關聯的 [RSS 摘要](https://alas.aws.amazon.com/AL2/alas.rss)，追蹤 Amazon Linux 2 的安全或隱私權事件。安全與隱私權事件包括影響問題的概觀和套件，並說明如何更新執行個體以修正問題。

## 使用 Amazon Inspector 進行節點偵測
<a name="configuration-vulnerability-analysis-inspector"></a>

您可以使用 [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html) 檢查節點是否有意外的網路存取問題，以及 Amazon EC2 執行個體是否有漏洞。

## 使用 Amazon GuardDuty 進行叢集與節點偵測
<a name="configuration-vulnerability-analysis-guardduty"></a>

Amazon GuardDuty 是一種威脅偵測服務，可協助保護您的帳戶、容器、工作負載和 AWS 環境中的資料。除了這些功能外，GuardDuty 還提供下列兩種功能，可偵測對 EKS 叢集的潛在威脅：*EKS 保護*和*執行時期監控*。

如需詳細資訊，請參閱 [使用 Amazon GuardDuty 偵測威脅](integration-guardduty.md)。