Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So funktioniert Runtime Monitoring mit EKS Amazon-Clustern
Runtime Monitoring verwendet ein EKSAdd-on aws-guardduty-agent, das auch als GuardDuty Security Agent bezeichnet wird. Nachdem der GuardDuty Security Agent auf Ihren EKS Clustern installiert wurde, GuardDuty kann er Runtime-Ereignisse für diese EKS Cluster empfangen.
GuardDuty unterstützt EKS Amazon-Cluster, die nur auf EC2 Amazon-Instances ausgeführt werden. GuardDuty unterstützt keine EKS Amazon-Cluster, die auf AWS Fargate laufen.
Sie können die Laufzeitereignisse Ihrer EKS Amazon-Cluster entweder auf Konto- oder Clusterebene überwachen. Sie können den GuardDuty Security Agent nur für die EKS Amazon-Cluster verwalten, die Sie im Hinblick auf die Erkennung von Bedrohungen überwachen möchten. Sie können den GuardDuty Security Agent entweder manuell verwalten oder indem GuardDuty Sie die automatische Agentenkonfiguration verwenden, indem Sie die automatische Agentenkonfiguration verwenden.
Wenn Sie den Ansatz der automatisierten Agentenkonfiguration verwenden, GuardDuty um die Bereitstellung des Security Agents in Ihrem Namen zu verwalten, wird automatisch ein Amazon Virtual Private Cloud (AmazonVPC) -Endpunkt erstellt. Der Security Agent übermittelt die Runtime-Ereignisse über diesen VPC Amazon-Endpunkt an. GuardDuty
Erstellt zusammen mit dem VPC Endpunkt GuardDuty auch eine neue Sicherheitsgruppe. Die Regeln für eingehenden Datenverkehr (Eingang) steuern den Datenverkehr, der die Ressourcen erreichen darf, die der Sicherheitsgruppe zugeordnet sind. GuardDuty fügt Regeln für eingehenden Datenverkehr hinzu, die dem VPC CIDR Bereich für Ihre Ressource entsprechen, und passt sich diesem auch an, wenn sich der CIDR Bereich ändert. Weitere Informationen finden Sie unter VPCCIDRReichweite im VPCAmazon-Benutzerhandbuch.
Hinweise
-
Für die Nutzung des VPC Endgeräts fallen keine zusätzlichen Kosten an.
-
Arbeiten VPC mit zentralisiertem und automatisiertem Agenten — Wenn Sie die GuardDuty automatische Agentenkonfiguration für einen Ressourcentyp verwenden, GuardDuty wird in Ihrem Namen ein VPC Endpunkt für alle erstelltVPCs. Dazu gehören der zentralisierte Modus VPC und der Spoke-ModusVPCs. GuardDuty unterstützt nicht die Erstellung eines VPC Endpunkts nur für zentralisierte BenutzerVPC. Weitere Informationen zur VPC Funktionsweise der zentralisierten Lösung finden Sie unter VPCSchnittstellenendpunkte im AWS Whitepaper Aufbau einer skalierbaren und sicheren VPC AWS Multi-Netzwerk-Infrastruktur.
Ansätze zur Verwaltung von GuardDuty Security Agents in EKS Amazon-Clustern
Vor dem 13. September 2023 konnten Sie den Security Agent so konfigurieren, GuardDuty dass er auf Kontoebene verwaltet wird. Dieses Verhalten deutete darauf hin, dass der Security Agent standardmäßig auf allen EKS Clustern verwaltet GuardDuty wird, die zu einem gehören AWS-Konto. GuardDuty Bietet jetzt eine detaillierte Funktion, die Sie bei der Auswahl der EKS Cluster unterstützt, auf denen Sie den Security Agent verwalten GuardDuty möchten.
Wenn Sie möchtenDen GuardDuty Security Agent manuell verwalten, können Sie immer noch die EKS Cluster auswählen, die Sie überwachen möchten. Um den Agenten jedoch manuell verwalten zu können, ist die Erstellung eines VPC Amazon-Endpunkts für Sie AWS-Konto eine Grundvoraussetzung.
Anmerkung
Unabhängig davon, welchen Ansatz Sie zur Verwaltung des GuardDuty Security Agents verwenden, ist EKS Runtime Monitoring immer auf Kontoebene aktiviert.
Verwalten Sie den Security Agent über GuardDuty
GuardDuty verteilt und verwaltet den Security Agent in Ihrem Namen. Sie können die EKS Cluster in Ihrem Konto jederzeit überwachen, indem Sie eine der folgenden Methoden verwenden.
Themen
Überwachen Sie alle EKS Cluster
Verwenden Sie diesen Ansatz GuardDuty , wenn Sie den Security Agent für alle EKS Cluster in Ihrem Konto bereitstellen und verwalten möchten. Standardmäßig GuardDuty wird der Security Agent auch auf einem potenziell neuen EKS Cluster installiert, der in Ihrem Konto erstellt wurde.
- Auswirkungen der Verwendung dieses Ansatzes
-
-
GuardDuty erstellt einen Amazon Virtual Private Cloud (AmazonVPC) -Endpunkt, über den der GuardDuty Security Agent die Runtime-Ereignisse übermittelt GuardDuty. Es fallen keine zusätzlichen Kosten für die Erstellung des VPC Amazon-Endpunkts an, wenn Sie den Security Agent über verwalten GuardDuty.
-
Es ist erforderlich, dass Ihr Worker-Knoten über einen gültigen Netzwerkpfad zu einem aktiven
guardduty-dataVPC Endpunkt verfügt. GuardDuty verteilt den Security Agent auf Ihren EKS Clustern. Amazon Elastic Kubernetes Service (AmazonEKS) koordiniert die Bereitstellung des Security Agents auf den Knoten innerhalb der EKS Cluster. -
GuardDuty Wählt auf der Grundlage der IP-Verfügbarkeit das Subnetz aus, um einen Endpunkt zu erstellen. VPC Wenn Sie erweiterte Netzwerktopologien verwenden, müssen Sie überprüfen, ob die Konnektivität möglich ist.
-
Schließt selektive Cluster EKS aus
Verwenden Sie diesen Ansatz, wenn Sie GuardDuty den Security Agent für alle EKS Cluster in Ihrem Konto verwalten, aber ausgewählte EKS Cluster ausschließen möchten. Bei dieser Methode wird ein Tag-basierter Ansatz verwendet, bei dem Sie die EKS Cluster taggen können, für die Sie keine Runtime-Ereignisse erhalten möchten. Das vordefinierte Tag muss GuardDutyManaged-false als Schlüssel-Wert-Paar haben.
- Auswirkungen der Verwendung dieses Ansatzes
-
Bei diesem Ansatz müssen Sie die automatische GuardDuty Agentenverwaltung erst aktivieren, nachdem Sie den EKS Clustern, die Sie von der Überwachung ausschließen möchten, Tags hinzugefügt haben.
Daher gilt auch für diesen Ansatz die Auswirkung von Verwalten Sie den Security Agent über GuardDuty. Wenn Sie Tags hinzufügen, bevor Sie die automatische GuardDuty Agentenverwaltung aktivieren, GuardDuty wird der Security Agent für die EKS Cluster, die von der Überwachung ausgeschlossen sind, weder bereitgestellt noch verwaltet.
- Überlegungen
-
-
Sie müssen das Tag-Schlüssel-Wert-Paar wie folgt hinzufügen
GuardDutyManaged:falsefür die ausgewählten EKS Cluster, bevor Sie die automatische Agentenkonfiguration aktivieren. Andernfalls wird der GuardDuty Security Agent auf allen EKS Clustern installiert, bis Sie das Tag verwenden. -
Sie müssen verhindern, dass die Tags geändert werden, es sei denn, es handelt sich um vertrauenswürdige Identitäten.
Wichtig
Verwalten Sie die Berechtigungen zur Änderung des
GuardDutyManagedTag-Werts für Ihren EKS Cluster mithilfe von Dienststeuerungsrichtlinien oder IAM -richtlinien. Weitere Informationen finden Sie unter Dienststeuerungsrichtlinien (SCPs) im AWS Organizations Benutzerhandbuch oder Steuern des Zugriffs auf AWS Ressourcen im IAMBenutzerhandbuch. -
Bei einem potenziell neuen EKS Cluster, den Sie nicht überwachen möchten, stellen Sie sicher, dass Sie bei der Erstellung dieses EKS Clusters das
GuardDutyManagedfalseSchlüssel-Wert-Paar hinzufügen. -
Bei diesem Ansatz werden auch dieselben Überlegungen berücksichtigt, wie für Überwachen Sie alle EKS Cluster angegeben.
-
Ausgewählte Cluster einbeziehen EKS
Verwenden Sie diesen Ansatz, wenn GuardDuty Sie die Updates für den Security Agent nur für bestimmte EKS Cluster in Ihrem Konto verteilen und verwalten möchten. Bei dieser Methode wird ein Tag-basierter Ansatz verwendet, bei dem Sie den EKS Cluster taggen können, für den Sie die Runtime-Ereignisse empfangen möchten.
- Auswirkungen der Verwendung dieses Ansatzes
-
-
Durch die Verwendung von Inklusion-Tags GuardDuty wird der Security Agent automatisch nur für die ausgewählten EKS Cluster bereitgestellt und verwaltet, die mit
GuardDutyManaged-trueals Schlüssel-Wert-Paar gekennzeichnet sind. -
Dieser Ansatz hat auch die gleichen Auswirkungen, wie für Überwachen Sie alle EKS Cluster angegeben.
-
- Überlegungen
-
-
Wenn der Wert des
GuardDutyManagedTags nicht auf festgelegt isttrue, funktioniert das Inklusion-Tag nicht wie erwartet, und dies kann sich auf die Überwachung Ihres EKS Clusters auswirken. -
Um sicherzustellen, dass Ihre ausgewählten EKS Cluster überwacht werden, müssen Sie verhindern, dass die Tags geändert werden, es sei denn, es handelt sich um vertrauenswürdige Identitäten.
Wichtig
Verwalten Sie die Berechtigungen zum Ändern des Werts des
GuardDutyManagedTags für Ihren EKS Cluster mithilfe von Dienststeuerungsrichtlinien oder IAM -richtlinien. Weitere Informationen finden Sie unter Dienststeuerungsrichtlinien (SCPs) im AWS Organizations Benutzerhandbuch oder Steuern des Zugriffs auf AWS Ressourcen im IAMBenutzerhandbuch. -
Bei einem potenziell neuen EKS Cluster, den Sie nicht überwachen möchten, stellen Sie sicher, dass Sie bei der Erstellung dieses EKS Clusters das
GuardDutyManagedfalseSchlüssel-Wert-Paar hinzufügen. -
Bei diesem Ansatz werden auch dieselben Überlegungen berücksichtigt, wie für Überwachen Sie alle EKS Cluster angegeben.
-
1 Weitere Informationen zum Taggen von ausgewählten EKS Clustern finden Sie unter Taggen Ihrer EKS Amazon-Ressourcen im EKSAmazon-Benutzerhandbuch.
Den GuardDuty Security Agent manuell verwalten
Verwenden Sie diesen Ansatz, wenn Sie den GuardDuty Security Agent auf all Ihren EKS Clustern manuell verteilen und verwalten möchten. Stellen Sie sicher, dass EKS Runtime Monitoring für Ihre Konten aktiviert ist. Der GuardDuty Security Agent funktioniert möglicherweise nicht wie erwartet, wenn Sie EKS Runtime Monitoring nicht aktivieren.
- Auswirkungen der Verwendung dieses Ansatzes
-
Sie müssen die Bereitstellung des GuardDuty Security Agents in Ihren EKS Clustern für alle Konten und für alle Standorte, AWS-Regionen an denen diese Funktion verfügbar ist, koordinieren. Sie müssen auch die Agent-Version aktualisieren, wenn sie GuardDuty veröffentlicht wird. Weitere Informationen zu Agentenversionen für EKS finden Sie unterGuardDuty Sicherheitsagent für EKS Amazon-Cluster.
- Überlegungen
-
Sie müssen einen sicheren Datenfluss unterstützen und gleichzeitig auf Versorgungslücken achten und diese schließen, da ständig neue Cluster und Workloads bereitgestellt werden.
