Cara kerja Runtime Monitoring dengan kluster Amazon EKS - Amazon GuardDuty
Pendekatan untuk mengelola agen GuardDuty keamanan di kluster Amazon EKS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja Runtime Monitoring dengan kluster Amazon EKS

Runtime Monitoring menggunakan add-on EKS aws-guardduty-agent, juga disebut sebagai agen GuardDuty keamanan. Setelah agen GuardDuty keamanan diterapkan di kluster EKS Anda, GuardDuty dapat menerima peristiwa runtime untuk kluster EKS ini.

Catatan

Runtime Monitoring mendukung klaster Amazon EKS yang berjalan di EC2 instans Amazon dan Mode Otomatis Amazon EKS.

Runtime Monitoring tidak mendukung klaster Amazon EKS dengan Amazon EKS Hybrid Nodes, dan yang berjalan. AWS Fargate

Untuk informasi tentang fitur Amazon EKS ini, lihat Apa itu Amazon EKS? di Panduan Pengguna Amazon EKS.

Anda dapat memantau peristiwa runtime klaster Amazon EKS di level akun atau klaster. Anda dapat mengelola agen GuardDuty keamanan hanya untuk kluster Amazon EKS yang ingin Anda pantau untuk deteksi ancaman. Anda dapat mengelola agen GuardDuty keamanan baik secara manual atau dengan mengizinkan GuardDuty untuk mengelolanya atas nama Anda, dengan menggunakan konfigurasi agen Otomatis.

Ketika Anda menggunakan pendekatan konfigurasi agen otomatis GuardDuty untuk memungkinkan mengelola penyebaran agen keamanan atas nama Anda, itu akan secara otomatis membuat titik akhir Amazon Virtual Private Cloud (Amazon VPC). Agen keamanan mengirimkan peristiwa runtime GuardDuty dengan menggunakan titik akhir VPC Amazon ini.

Seiring dengan titik akhir VPC, GuardDuty juga membuat grup keamanan baru. Aturan masuk (ingress) mengontrol lalu lintas yang diizinkan untuk mencapai sumber daya, yang terkait dengan grup keamanan. GuardDuty menambahkan aturan masuk yang cocok dengan rentang CIDR VPC untuk sumber daya Anda, dan juga menyesuaikannya saat rentang CIDR berubah. Untuk informasi selengkapnya, lihat rentang VPC CIDR di Panduan Pengguna Amazon VPC.

Catatan

  • Tidak ada biaya tambahan untuk penggunaan titik akhir VPC.

  • Bekerja dengan VPC terpusat dengan agen otomatis — Saat Anda GuardDuty menggunakan konfigurasi agen otomatis untuk jenis sumber daya GuardDuty , akan membuat titik akhir VPC atas nama Anda untuk semua. VPCs Ini termasuk VPC terpusat dan bicara. VPCs GuardDuty tidak mendukung pembuatan titik akhir VPC hanya untuk VPC terpusat. Untuk informasi selengkapnya tentang cara kerja VPC terpusat, lihat Endpoint VPC Antarmuka di Whitepaper - Membangun Infrastruktur Jaringan Multi-VPC AWS yang Dapat Diskalakan dan Aman. AWS

Pendekatan untuk mengelola agen GuardDuty keamanan di kluster Amazon EKS

Sebelum 13 September 2023, Anda dapat mengonfigurasi GuardDuty untuk mengelola agen keamanan di tingkat akun. Perilaku ini menunjukkan bahwa secara default, GuardDuty akan mengelola agen keamanan pada semua kluster EKS milik. Akun AWS Sekarang, GuardDuty menyediakan kemampuan granular untuk membantu Anda memilih kluster EKS di mana Anda GuardDuty ingin mengelola agen keamanan.

Ketika Anda memilih untukKelola agen GuardDuty keamanan secara manual, Anda masih dapat memilih kluster EKS yang ingin Anda pantau. Namun, untuk mengelola agen secara manual, membuat titik akhir VPC Amazon untuk Anda Akun AWS adalah prasyarat.

catatan

Terlepas dari pendekatan yang Anda gunakan untuk mengelola agen GuardDuty keamanan, EKS Runtime Monitoring selalu diaktifkan di tingkat akun.

Mengelola agen keamanan melalui GuardDuty

GuardDuty menyebarkan dan mengelola agen keamanan atas nama Anda. Kapan saja, Anda dapat memantau kluster EKS di akun Anda dengan menggunakan salah satu pendekatan berikut.

Pantau semua kluster EKS

Gunakan pendekatan ini ketika Anda GuardDuty ingin menyebarkan dan mengelola agen keamanan untuk semua kluster EKS di akun Anda. Secara default, juga GuardDuty akan menyebarkan agen keamanan pada kluster EKS yang berpotensi baru yang dibuat di akun Anda.

Dampak menggunakan pendekatan ini

  • GuardDuty membuat titik akhir Amazon Virtual Private Cloud (Amazon VPC) tempat agen GuardDuty keamanan mengirimkan peristiwa runtime. GuardDuty Tidak ada biaya tambahan untuk pembuatan titik akhir VPC Amazon saat Anda mengelola agen keamanan melalui. GuardDuty

  • Diperlukan bahwa node pekerja Anda memiliki jalur jaringan yang valid ke titik akhir guardduty-data VPC yang aktif. GuardDuty menyebarkan agen keamanan di kluster EKS Anda. Amazon Elastic Kubernetes Service (Amazon EKS) akan mengoordinasikan penyebaran agen keamanan pada node dalam cluster EKS.

  • Atas dasar ketersediaan IP, GuardDuty pilih subnet untuk membuat titik akhir VPC. Jika Anda menggunakan topologi jaringan tingkat lanjut, Anda harus memvalidasi bahwa konektivitas dimungkinkan.

Kecualikan kluster EKS selektif

Gunakan pendekatan ini ketika Anda ingin mengelola agen keamanan GuardDuty untuk semua kluster EKS di akun Anda tetapi tidak termasuk kluster EKS selektif. Metode ini menggunakan pendekatan berbasis tag 1 di mana Anda dapat menandai cluster EKS yang Anda tidak ingin menerima peristiwa runtime. Tag yang telah ditentukan harus memiliki GuardDutyManaged - false sebagai pasangan kunci-nilai.

Dampak menggunakan pendekatan ini

Pendekatan ini mengharuskan Anda untuk mengaktifkan manajemen otomatis GuardDuty agen hanya setelah menambahkan tag ke kluster EKS yang ingin Anda kecualikan dari pemantauan.

Oleh karena itu, dampaknya ketika Anda Mengelola agen keamanan melalui GuardDuty menerapkan pendekatan ini juga. Saat Anda menambahkan tag sebelum mengaktifkan manajemen otomatis GuardDuty agen, tidak GuardDuty akan menyebarkan atau mengelola agen keamanan untuk kluster EKS yang dikecualikan dari pemantauan.

Pertimbangan-pertimbangan

  • Anda harus menambahkan pasangan nilai kunci tag sebagaiGuardDutyManaged: false untuk kluster EKS selektif sebelum mengaktifkan konfigurasi agen Otomatis jika tidak, agen GuardDuty keamanan akan digunakan di semua kluster EKS sampai Anda menggunakan tag.

  • Anda harus mencegah tag diubah, kecuali oleh identitas tepercaya.

    penting

    Kelola izin untuk mengubah nilai GuardDutyManaged tag untuk kluster EKS Anda dengan menggunakan kebijakan kontrol layanan atau kebijakan IAM. Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan (SCPs) di Panduan AWS Organizations Pengguna atau Kontrol akses ke AWS sumber daya di Panduan Pengguna IAM.

  • Untuk cluster EKS yang berpotensi baru yang tidak ingin Anda pantau, pastikan untuk menambahkan pasangan GuardDutyManaged - false kunci-nilai pada saat membuat cluster EKS ini.

  • Pendekatan ini juga akan memiliki pertimbangan yang sama seperti yang ditentukan untukPantau semua kluster EKS.

Sertakan kluster EKS selektif

Gunakan pendekatan ini ketika Anda GuardDuty ingin menyebarkan dan mengelola pembaruan ke agen keamanan hanya untuk kluster EKS selektif di akun Anda. Metode ini menggunakan pendekatan berbasis tag 1 di mana Anda dapat menandai cluster EKS yang ingin Anda terima peristiwa runtime.

Dampak menggunakan pendekatan ini

  • Dengan menggunakan tag inklusi, secara otomatis GuardDuty akan menyebarkan dan mengelola agen keamanan hanya untuk kluster EKS selektif yang ditandai dengan GuardDutyManaged - true sebagai pasangan kunci-nilai.

  • Menggunakan pendekatan ini juga akan memiliki dampak yang sama seperti yang ditentukan untukPantau semua kluster EKS.

Pertimbangan-pertimbangan

  • Jika nilai tag tidak disetel ketrue, GuardDutyManaged tag inklusi tidak akan berfungsi seperti yang diharapkan dan ini dapat memengaruhi pemantauan kluster EKS Anda.

  • Untuk memastikan bahwa klaster EKS selektif Anda dipantau, Anda perlu mencegah tag diubah, kecuali oleh identitas tepercaya.

    penting

    Kelola izin untuk mengubah nilai GuardDutyManaged tag untuk kluster EKS Anda dengan menggunakan kebijakan kontrol layanan atau kebijakan IAM. Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan (SCPs) di Panduan AWS Organizations Pengguna atau Kontrol akses ke AWS sumber daya di Panduan Pengguna IAM.

  • Untuk cluster EKS yang berpotensi baru yang tidak ingin Anda pantau, pastikan untuk menambahkan pasangan GuardDutyManaged - false kunci-nilai pada saat membuat cluster EKS ini.

  • Pendekatan ini juga akan memiliki pertimbangan yang sama seperti yang ditentukan untukPantau semua kluster EKS.

1 Untuk informasi selengkapnya tentang menandai kluster EKS selektif, lihat Menandai sumber daya Amazon EKS Anda di Panduan Pengguna Amazon EKS.

Kelola agen GuardDuty keamanan secara manual

Gunakan pendekatan ini saat Anda ingin menyebarkan dan mengelola agen GuardDuty keamanan di semua kluster EKS Anda secara manual. Pastikan bahwa EKS Runtime Monitoring diaktifkan untuk akun Anda. Agen GuardDuty keamanan mungkin tidak berfungsi seperti yang diharapkan jika Anda tidak mengaktifkan EKS Runtime Monitoring.

Dampak menggunakan pendekatan ini

Anda perlu mengoordinasikan penyebaran agen GuardDuty keamanan dalam kluster EKS Anda di semua akun dan Wilayah AWS di mana fitur ini tersedia. Anda juga perlu memperbarui versi agen saat GuardDuty merilisnya. Untuk informasi selengkapnya tentang versi agen untuk EKS, lihatGuardDuty agen keamanan untuk kluster Amazon EKS.

Pertimbangan-pertimbangan

Anda harus mendukung aliran data yang aman sambil memantau dan mengatasi kesenjangan cakupan karena klaster dan beban kerja baru terus digunakan.