修復 Amazon EKS 叢集的暴露 - AWSSecurity Hub
Amazon EKS 叢集的錯誤組態特性Amazon EKS 叢集的漏洞特徵Amazon EKS 叢集具有具有End-Of-Life作業系統的容器Amazon EKS 叢集具有具有惡意軟體套件的容器EKS 叢集具有惡意檔案

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復 Amazon EKS 叢集的暴露

AWSSecurity Hub 可以產生 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集的公開調查結果。

涉及公開調查結果的 Amazon EKS 叢集及其識別資訊會列在調查結果詳細資訊的資源區段中。您可以在 Security Hub 主控台上擷取這些資源詳細資訊,或使用 Security Hub CSPM API GetFindingsV2的操作以程式設計方式擷取這些資源詳細資訊。

識別暴露調查結果中涉及的資源之後,如果不需要,您可以刪除資源。刪除非必要資源可以降低您的暴露描述檔和AWS成本。如果資源是必要的,請遵循這些建議的修補步驟,以協助降低風險。修復主題會根據特徵類型進行分割。

單一公開調查結果包含多個修復主題中識別的問題。相反地,您可以透過僅解決一個修補主題來解決暴露問題並降低其嚴重性。您的風險修補方法取決於您的組織需求和工作負載。

注意

本主題提供的修補指引可能需要在其他 AWS資源中進行額外諮詢。

Amazon EKS 叢集的錯誤組態特性

以下是 Amazon EKS 叢集的錯誤組態特性和建議的修復步驟。

Amazon EKS 叢集允許公開存取

Amazon EKS 叢集端點是您用來與叢集的 Kubernetes API 伺服器通訊的端點。根據預設,此端點對網際網路是公有的。公有端點會增加您的攻擊面區域,以及未經授權存取 Kubernetes API 伺服器的風險,可能允許攻擊者存取或修改叢集資源或存取敏感資料。遵循安全最佳實務,AWS建議將 EKS 叢集端點的存取限制為僅限必要的 IP 範圍。

修改端點存取

在公開調查結果中,開啟 資源。這會開啟受影響的 Amazon EKS 叢集。您可以設定叢集使用私有存取、公有存取或兩者。透過私有存取,源自叢集 VPC 的 Kubernetes API 請求會使用私有 VPC 端點。透過公有存取,源自叢集 VPC 外部的 Kubernetes API 請求會使用公有端點。

修改或移除叢集的公有存取權

若要修改現有叢集的端點存取,請參閱《Amazon Elastic Kubernetes Service 使用者指南》中的修改叢集端點存取。根據特定 IP 範圍或安全群組實作更嚴格的規則。如果需要有限的公開存取,請限制對特定 CIDR 區塊範圍的存取,或使用字首清單。

Amazon EKS 叢集使用不支援的 Kubernetes 版本

Amazon EKS 在有限的時間內支援每個 Kubernetes 版本。使用不支援的 Kubernetes 版本執行叢集可能會讓您的環境暴露在安全漏洞中,因為 CVE 修補程式將停止針對過期的版本發佈。不支援的版本可能包含攻擊者可能利用的已知安全漏洞,且缺少較新版本中可用的安全功能。遵循安全最佳實務,AWS建議更新您的 Kubernetes 版本。

更新 Kubernetes 版本

在公開調查結果中,開啟 資源。這會開啟受影響的 Amazon EKS 叢集。更新叢集之前,請參閱《Amazon Elastic Kubernetes Service 使用者指南》中的標準支援可用的版本,以取得目前支援的 Kubernetes 版本清單。

Amazon EKS 叢集使用未加密的 Kubernetes 秘密

Kubernetes 秘密預設會未加密存放在 API 伺服器的基礎資料存放區 (等)。任何具有 API 存取權或具有 等存取權的人都可以擷取或修改秘密。為了避免這種情況,您應該加密靜態 Kubernetes 秘密。如果 Kubernetes Secrets 未加密,則如果 Kubernetes Secrets 洩漏,它們容易受到未經授權的存取。由於秘密通常包含敏感資訊,例如密碼和 API 字符,因此其公開可能導致未經授權存取其他應用程式和資料。遵循安全最佳實務,AWS建議加密存放在 Kubernetes 秘密中的所有敏感資訊。

加密 Kubernetes 秘密

Amazon EKS 支援使用 KMS 金鑰透過信封加密來加密 Kubernetes 秘密。若要啟用 EKS 叢集的 Kubernetes 秘密加密,請參閱《Amazon EKS 使用者指南》中的在現有叢集上使用 KMS 加密 Kubernetes 秘密

Amazon EKS 叢集的漏洞特徵

以下是 Amazon EKS 叢集的漏洞特徵。

Amazon EKS 叢集的容器具有網路可攻擊的軟體漏洞,具有高利用率的可能性

安裝在 EKS 叢集上的軟體套件可能會公開到常見漏洞與暴露 (CVEs)。關鍵 CVEs對您的AWS環境構成重大的安全風險。未經授權的使用者可以利用這些未修補的漏洞來危害資料的機密性、完整性或可用性,或存取其他系統。具有高入侵可能性的關鍵漏洞代表立即的安全威脅,因為攻擊者或自動化掃描工具可能已經公開提供並主動使用入侵程式碼。遵循安全最佳實務,AWS建議修補這些漏洞,以保護執行個體免受攻擊。

更新受影響的執行個體

將您的容器映像更新為較新版本,其中包含已識別漏洞的安全修正。這通常涉及使用更新的基礎映像或相依性重建容器映像,然後將新映像部署到您的 Amazon EKS 叢集。

Amazon EKS 叢集具有具有軟體漏洞的容器

安裝在 Amazon EKS 叢集上的軟體套件可能會公開到常見漏洞與暴露 (CVEs)。非關鍵 CVEs代表與關鍵 CVEs 相比,嚴重性或可利用性較低的安全弱點。雖然這些漏洞的立即風險較低,但攻擊者仍然可以利用這些未修補的漏洞來損害資料的機密性、完整性或可用性,或存取其他系統。遵循安全最佳實務,AWS建議修補這些漏洞,以保護執行個體免受攻擊。

更新受影響的執行個體

將您的容器映像更新為較新版本,其中包含已識別漏洞的安全修正。這通常涉及使用更新的基礎映像或相依性重建容器映像,然後將新映像部署到您的 Amazon EKS 叢集。

Amazon EKS 叢集具有具有End-Of-Life作業系統的容器

Amazon EKS 容器映像依賴原始開發人員不再支援或維護的end-of-life作業系統。這會使容器暴露在安全漏洞和潛在攻擊中。當作業系統達到end-of-life,廠商通常會停止發佈新的安全建議。現有的安全建議也可能從廠商摘要中移除。因此,Amazon Inspector 可能會停止為已知 CVEs 產生問題清單,進而造成安全涵蓋範圍的進一步差距。

請參閱《Amazon Inspector 使用者指南》中的已停止作業系統,以取得 Amazon Inspector 可偵測到之生命週期結束的相關資訊。

更新至支援的作業系統版本

建議您更新至支援的作業系統版本。在公開調查結果中,開啟 資源以存取受影響的資源。更新容器映像中的作業系統版本之前,請在 Amazon Inspector 使用者指南中的支援的作業系統中檢閱可用的版本,以取得目前支援的作業系統版本清單。更新容器映像後,請將容器重建並重新部署至 Amazon EKS 叢集。

Amazon EKS 叢集具有具有惡意軟體套件的容器

惡意套件是包含有害程式碼的軟體元件,旨在損害系統和資料的機密性、完整性和可用性。惡意套件會對 Amazon EKS 叢集構成主動和關鍵的威脅,因為攻擊者可以在不利用漏洞的情況下自動執行惡意程式碼。遵循安全最佳實務,AWS建議移除惡意套件,以保護叢集免受潛在攻擊。

移除惡意套件

檢閱特徵漏洞索引標籤參考區段中的惡意套件詳細資訊,以了解威脅。從容器映像中移除已識別的惡意套件。然後,刪除映像遭到入侵的 Pod。更新您的 Kubernetes 部署以使用更新的容器映像。然後,部署您的變更並重新部署您的 Pod。

EKS 叢集具有惡意檔案

惡意檔案包含有害程式碼,旨在損害系統和資料的機密性、完整性和可用性。惡意檔案會對叢集構成主動且重要的威脅,因為攻擊者可以在不利用漏洞的情況下自動執行惡意程式碼。遵循安全最佳實務,AWS建議移除惡意檔案,以保護叢集免受潛在攻擊。

移除惡意檔案

若要識別具有惡意檔案的特定 Amazon Elastic Block Store (Amazon EBS) 磁碟區,請檢閱特徵調查結果詳細資訊的資源區段。使用惡意檔案識別磁碟區後,請移除已識別的惡意檔案。移除惡意檔案後,請考慮執行掃描,以確保所有可能由惡意檔案安裝的檔案都已移除。如需詳細資訊,請參閱《》中的在 GuardDuty 中啟動隨需惡意軟體掃描