Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Amazon EKS
Kontrol CSPM Security Hub ini mengevaluasi layanan dan sumber daya Amazon Elastic Kubernetes Service (Amazon EKS). Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [EKS.1] Titik akhir klaster EKS seharusnya tidak dapat diakses publik
**Persyaratan terkait:** NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4
**Kategori:** Lindungi > Konfigurasi jaringan aman > Sumber daya tidak dapat diakses publik
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::EKS::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah titik akhir kluster Amazon EKS dapat diakses publik. Kontrol gagal jika kluster EKS memiliki titik akhir yang dapat diakses publik.
Saat Anda membuat klaster baru, Amazon EKS membuat endpoint untuk server API Kubernetes terkelola yang Anda gunakan untuk berkomunikasi dengan klaster Anda. Secara default, titik akhir server API ini tersedia untuk umum di internet. Akses ke server API diamankan menggunakan kombinasi AWS Identity and Access Management (IAM) dan Kubernetes Role Based Access Control (RBAC) asli. Dengan menghapus akses publik ke titik akhir, Anda dapat menghindari eksposur yang tidak disengaja dan akses ke cluster Anda.
### Remediasi
Untuk mengubah akses titik akhir untuk kluster EKS yang ada, lihat [Memodifikasi akses titik akhir klaster di Panduan](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) Pengguna **Amazon EKS**. Anda dapat mengatur akses titik akhir untuk kluster EKS baru saat membuatnya. Untuk petunjuk cara membuat kluster Amazon EKS baru, lihat [Membuat klaster Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html) di **Panduan Pengguna Amazon EKS**.
## [EKS.2] Kluster EKS harus berjalan pada versi Kubernetes yang didukung
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), Nist.800-53.r5 SI-2 (4), Nist.800-53.R5 SI-2 (5), PCI DSS v4.0.1/12.3.4
**Kategori:** Identifikasi > Kerentanan, tambalan, dan manajemen versi
**Tingkat keparahan:** Tinggi
**Jenis sumber daya:** `AWS::EKS::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
+ `oldestVersionSupported`: `1.33` (tidak dapat disesuaikan)
Kontrol ini memeriksa apakah klaster Amazon Elastic Kubernetes Service (Amazon EKS) berjalan pada versi Kubernetes yang didukung. Kontrol gagal jika kluster EKS berjalan pada versi yang tidak didukung.
Jika aplikasi Anda tidak memerlukan versi Kubernetes tertentu, kami sarankan Anda menggunakan versi Kubernetes terbaru yang tersedia yang didukung oleh EKS untuk cluster Anda. **Untuk informasi selengkapnya, lihat [kalender rilis Amazon EKS Kubernetes](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar) dan [Memahami siklus hidup versi Kubernetes di Amazon EKS di Panduan Pengguna Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation).**
### Remediasi
Untuk memperbarui kluster EKS, lihat [Memperbarui klaster yang ada ke versi Kubernetes baru di Panduan](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html) Pengguna **Amazon EKS**.
## [EKS.3] Kluster EKS harus menggunakan rahasia Kubernetes terenkripsi
**Persyaratan terkait:** NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, PCI DSS v4.0.1/8.3.2
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-at-rest
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::EKS::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)**
**Jenis jadwal:** Periodik
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah klaster Amazon EKS menggunakan rahasia Kubernetes terenkripsi. Kontrol gagal jika rahasia Kubernetes cluster tidak dienkripsi.
Saat Anda mengenkripsi rahasia, Anda dapat menggunakan kunci AWS Key Management Service (AWS KMS) untuk menyediakan enkripsi amplop rahasia Kubernetes yang disimpan di etcd untuk klaster Anda. Enkripsi ini merupakan tambahan dari enkripsi volume EBS yang diaktifkan secara default untuk semua data (termasuk rahasia) yang disimpan dalam etcd sebagai bagian dari cluster EKS. Menggunakan enkripsi rahasia untuk kluster EKS Anda memungkinkan Anda untuk menerapkan strategi pertahanan secara mendalam untuk aplikasi Kubernetes dengan mengenkripsi rahasia Kubernetes dengan kunci KMS yang Anda tentukan dan kelola.
### Remediasi
Untuk mengaktifkan enkripsi rahasia pada kluster EKS, lihat [Mengaktifkan enkripsi rahasia pada klaster yang ada](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) di **Panduan Pengguna Amazon EKS**.
## [EKS.6] Kluster EKS harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::EKS::Cluster`
**AWS Config aturan:** `tagged-eks-cluster` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah klaster Amazon EKS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika cluster tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika cluster tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke kluster EKS, lihat [Menandai resource Amazon EKS Anda](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) di **Panduan Pengguna Amazon EKS**.
## [EKS.7] Konfigurasi penyedia identitas EKS harus ditandai
**Kategori:** Identifikasi > Inventaris > Penandaan
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::EKS::IdentityProviderConfig`
**AWS Config aturan:** `tagged-eks-identityproviderconfig` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | [1—6 kunci tag yang memenuhi persyaratan AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Tidak ada nilai default |
Kontrol ini memeriksa apakah konfigurasi penyedia identitas Amazon EKS memiliki tag dengan kunci spesifik yang ditentukan dalam parameter`requiredTagKeys`. Kontrol gagal jika konfigurasi tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameter`requiredTagKeys`. Jika parameter `requiredTagKeys` tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika konfigurasi tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai dengan`aws:`, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat [Untuk apa ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) di *Panduan Pengguna IAM*.
**catatan**
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orang Layanan AWS, termasuk AWS Billing. Untuk praktik terbaik penandaan lainnya, lihat [Menandai AWS sumber daya Anda](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) di. *Referensi Umum AWS*
### Remediasi
Untuk menambahkan tag ke konfigurasi penyedia identitas EKS, lihat [Menandai resource Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html) Anda di **Panduan Pengguna Amazon EKS**.
## [EKS.8] Kluster EKS harus mengaktifkan pencatatan audit
**Persyaratan terkait:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9),, NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 Nist.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, Nist.800-53.r5 SI-4, Nist.800-53.r5 SI-4 (20), Nist.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.2.1
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::EKS::Cluster`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
+ `logTypes: audit`(tidak dapat disesuaikan)
Kontrol ini memeriksa apakah klaster Amazon EKS telah mengaktifkan pencatatan audit. Kontrol gagal jika pencatatan audit tidak diaktifkan untuk klaster.
**catatan**
Kontrol ini tidak memeriksa apakah pencatatan audit Amazon EKS diaktifkan melalui Amazon Security Lake untuk Akun AWS.
Pencatatan pesawat kontrol EKS menyediakan log audit dan diagnostik langsung dari bidang kontrol EKS ke Amazon CloudWatch Logs di akun Anda. Anda dapat memilih jenis log yang Anda butuhkan, dan log dikirim sebagai aliran log ke grup untuk setiap kluster EKS. CloudWatch Logging memberikan visibilitas ke dalam akses dan kinerja kluster EKS. Dengan mengirimkan log pesawat kontrol EKS untuk kluster EKS Anda ke CloudWatch Log, Anda dapat merekam operasi untuk tujuan audit dan diagnostik di lokasi pusat.
### Remediasi
Untuk mengaktifkan log audit untuk kluster EKS Anda, lihat [Mengaktifkan dan menonaktifkan log bidang kontrol di Panduan](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export) Pengguna **Amazon EKS**.