Comment fonctionne la surveillance du temps d'exécution avec les clusters Amazon EKS - Amazon GuardDuty
Approches pour gérer les agents GuardDuty de sécurité dans les clusters Amazon EKS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne la surveillance du temps d'exécution avec les clusters Amazon EKS

Runtime Monitoring utilise un module complémentaire EKS aws-guardduty-agent, également appelé agent GuardDuty de sécurité. Une fois l'agent de GuardDuty sécurité déployé sur vos clusters EKS, GuardDuty il est en mesure de recevoir des événements d'exécution pour ces clusters EKS.

Remarques

La surveillance du temps d'exécution prend en charge les clusters Amazon EKS exécutés sur EC2 des instances Amazon et le mode automatique Amazon EKS.

La surveillance du temps d'exécution ne prend pas en charge les clusters Amazon EKS dotés de nœuds hybrides Amazon EKS, ni ceux qui s'exécutent sur AWS Fargate.

Pour plus d'informations sur ces fonctionnalités d'Amazon EKS, consultez Qu'est-ce qu'Amazon EKS ? dans le guide de l'utilisateur Amazon EKS.

Vous pouvez surveiller les événements d'exécution de vos clusters Amazon EKS au niveau du compte ou du cluster. Vous ne pouvez gérer l'agent GuardDuty de sécurité que pour les clusters Amazon EKS que vous souhaitez surveiller pour détecter les menaces. Vous pouvez gérer l'agent GuardDuty de sécurité manuellement ou en l'autorisant GuardDuty à le gérer en votre nom, à l'aide de la configuration automatisée de l'agent.

Lorsque vous utilisez l'approche de configuration automatique de l'agent pour GuardDuty permettre de gérer le déploiement de l'agent de sécurité en votre nom, un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) est automatiquement créé. L'agent de sécurité fournit les événements d'exécution à l'aide GuardDuty de ce point de terminaison Amazon VPC.

Outre le point de terminaison VPC, il crée GuardDuty également un nouveau groupe de sécurité. Les règles d'entrée contrôlent le trafic autorisé à atteindre les ressources associées au groupe de sécurité. GuardDuty ajoute des règles entrantes qui correspondent à la plage d'adresses CIDR VPC de votre ressource, et s'y adapte également lorsque la plage d'adresses CIDR change. Pour plus d'informations, consultez la section Gamme d'adresses CIDR VPC dans le guide de l'utilisateur Amazon VPC.

Remarques

  • L'utilisation du point de terminaison VPC n'entraîne aucun coût supplémentaire.

  • Utilisation d'un VPC centralisé avec agent automatisé — Lorsque vous utilisez la configuration d'agent GuardDuty automatisée pour un type de ressource, GuardDuty vous créez un point de terminaison VPC en votre nom pour tous les. VPCs Cela inclut le VPC centralisé et le Spoke. VPCs GuardDuty ne prend pas en charge la création d'un point de terminaison VPC uniquement pour le VPC centralisé. Pour plus d'informations sur le fonctionnement du VPC centralisé, consultez la section Interface VPC endpoints du AWS livre blanc intitulé « Création d'une infrastructure réseau multi-VPC évolutive et sécurisée ». AWS

Approches pour gérer les agents GuardDuty de sécurité dans les clusters Amazon EKS

Avant le 13 septembre 2023, vous pouviez configurer GuardDuty pour gérer l'agent de sécurité au niveau du compte. Ce comportement indique que, par défaut, l'agent de sécurité GuardDuty sera géré sur tous les clusters EKS appartenant à un Compte AWS. Désormais, GuardDuty fournit une fonctionnalité granulaire pour vous aider à choisir les clusters EKS dans lesquels vous GuardDuty souhaitez gérer l'agent de sécurité.

Lorsque vous choisissez d'Gestion manuelle GuardDuty de l'agent de sécurité, vous pouvez toujours sélectionner les clusters EKS que vous souhaitez surveiller. Toutefois, pour gérer l'agent manuellement, il Compte AWS est indispensable de créer un point de terminaison Amazon VPC pour vous.

Note

Quelle que soit l'approche que vous utilisez pour gérer l'agent GuardDuty de sécurité, EKS Runtime Monitoring est toujours activé au niveau du compte.

Gérez l'agent de sécurité via GuardDuty

GuardDuty déploie et gère l'agent de sécurité en votre nom. À tout moment, vous pouvez surveiller les clusters EKS de votre compte en utilisant l'une des approches suivantes.

Surveillez tous les clusters EKS

Utilisez cette approche lorsque vous souhaitez GuardDuty déployer et gérer l'agent de sécurité pour tous les clusters EKS de votre compte. Par défaut, l'agent de sécurité GuardDuty sera également déployé sur un cluster EKS potentiellement nouveau créé dans votre compte.

Impact de l'utilisation de cette approche

  • GuardDuty crée un point de terminaison Amazon Virtual Private Cloud (Amazon VPC) via lequel l'agent GuardDuty de sécurité transmet les événements d'exécution. GuardDuty La création du point de terminaison Amazon VPC n'entraîne aucun coût supplémentaire lorsque vous gérez l'agent de sécurité via. GuardDuty

  • Il est nécessaire que votre nœud de travail dispose d'un chemin réseau valide vers un point de terminaison guardduty-data VPC actif. GuardDuty déploie l'agent de sécurité sur vos clusters EKS. Amazon Elastic Kubernetes Service (Amazon EKS) coordonnera le déploiement de l'agent de sécurité sur les nœuds des clusters EKS.

  • Sur la base de la disponibilité des adresses IP, GuardDuty sélectionne le sous-réseau pour créer un point de terminaison VPC. Si vous utilisez des topologies réseau avancées, vous devez vérifier que la connectivité est possible.

Exclure les clusters EKS sélectifs

Utilisez cette approche lorsque vous GuardDuty souhaitez gérer l'agent de sécurité pour tous les clusters EKS de votre compte, mais exclure certains clusters EKS. Cette méthode utilise une approche basée sur les balises1 dans laquelle vous pouvez étiqueter les clusters EKS pour lesquels vous ne souhaitez pas recevoir les événements d'exécution. La balise prédéfinie doit avoir GuardDutyManaged-false comme paire clé-valeur.

Impact de l'utilisation de cette approche

Cette approche nécessite que vous n'activiez la gestion automatique des GuardDuty agents qu'après avoir ajouté des balises aux clusters EKS que vous souhaitez exclure de la surveillance.

Par conséquent, l'impact lorsque vous Gérez l'agent de sécurité via GuardDuty s'applique également à cette approche. Lorsque vous ajoutez des balises avant d'activer la gestion automatique des agents, l' GuardDuty agent de sécurité ne GuardDuty sera ni déployé ni géré pour les clusters EKS exclus de la surveillance.

Considérations

  • Vous devez ajouter la paire clé-valeur de balise sous la forme suivante GuardDutyManaged : false pour les clusters EKS sélectifs avant d'activer la configuration automatisée de l'agent, sinon l'agent de GuardDuty sécurité sera déployé sur tous les clusters EKS jusqu'à ce que vous utilisiez la balise.

  • Vous devez empêcher la modification des balises, sauf par des identités approuvées.

    Important

    Gérez les autorisations permettant de modifier la valeur de la balise GuardDutyManaged pour votre cluster EKS à l'aide de politiques de contrôle des services ou de politiques IAM. Pour plus d'informations, voir Politiques de contrôle des services (SCPs) dans le guide de AWS Organizations l'utilisateur ou Contrôler l'accès aux AWS ressources dans le guide de l'utilisateur IAM.

  • Pour un cluster EKS potentiellement nouveau que vous ne souhaitez pas surveiller, assurez-vous d'ajouter la paire clé-valeur GuardDutyManaged-false au moment de créer ce cluster EKS.

  • Cette approche tiendra également compte des mêmes considérations que celles spécifiées pour Surveillez tous les clusters EKS.

Inclure des clusters EKS sélectifs

Utilisez cette approche lorsque vous GuardDuty souhaitez déployer et gérer les mises à jour de l'agent de sécurité uniquement pour certains clusters EKS de votre compte. Cette méthode utilise une approche basée sur les balises1 dans laquelle vous pouvez étiqueter le cluster EKS pour lesquels vous souhaitez recevoir les événements d'exécution.

Impact de l'utilisation de cette approche

  • En utilisant des balises d'inclusion, l'agent de sécurité GuardDuty sera automatiquement déployé et géré uniquement pour les clusters EKS sélectionnés marqués « GuardDutyManaged - » true en tant que paire clé-valeur.

  • L'utilisation de cette approche aura également le même impact que celui spécifié pour Surveillez tous les clusters EKS.

Considérations

  • Si la valeur de la balise GuardDutyManaged n'est pas définie sur true, la balise d'inclusion ne fonctionnera pas comme prévu, ce qui peut avoir un impact sur la surveillance de votre cluster EKS.

  • Pour vous assurer que vos clusters EKS sélectifs sont surveillés, vous devez empêcher la modification des balises, sauf par des identités approuvées.

    Important

    Gérez les autorisations permettant de modifier la valeur de la balise GuardDutyManaged pour votre cluster EKS à l'aide de politiques de contrôle des services ou de politiques IAM. Pour plus d'informations, voir Politiques de contrôle des services (SCPs) dans le guide de AWS Organizations l'utilisateur ou Contrôler l'accès aux AWS ressources dans le guide de l'utilisateur IAM.

  • Pour un cluster EKS potentiellement nouveau que vous ne souhaitez pas surveiller, assurez-vous d'ajouter la paire clé-valeur GuardDutyManaged-false au moment de créer ce cluster EKS.

  • Cette approche tiendra également compte des mêmes considérations que celles spécifiées pour Surveillez tous les clusters EKS.

1 Pour plus d'informations sur l'étiquetage de clusters EKS sélectifs, veuillez consulter Étiquetage de vos ressources Amazon EKS dans le Guide de l'utilisateur Amazon EKS.

Gestion manuelle GuardDuty de l'agent de sécurité

Utilisez cette approche lorsque vous souhaitez déployer et gérer manuellement l'agent de GuardDuty sécurité sur tous vos clusters EKS. Assurez-vous que la surveillance d'exécution EKS est activée pour vos comptes. L'agent GuardDuty de sécurité risque de ne pas fonctionner comme prévu si vous n'activez pas EKS Runtime Monitoring.

Impact de l'utilisation de cette approche

Vous devrez coordonner le déploiement de l'agent de GuardDuty sécurité au sein de vos clusters EKS sur tous les comptes et sur les Régions AWS lieux où cette fonctionnalité est disponible. Vous devrez également mettre à jour la version de l'agent lors GuardDuty de sa publication. Pour plus d'informations sur les versions des agents pour EKS, consultezGuardDuty agent de sécurité pour les clusters Amazon EKS.

Considérations

Vous devez garantir un flux de données sécurisé tout en surveillant et en comblant les lacunes de couverture à mesure que de nouveaux clusters et de nouvelles charges de travail sont déployés en permanence.