翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon の Security Hub コントロール EKS

これらの Security Hub コントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) サービスとリソースを評価します。

これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔EKS.1] EKSクラスターエンドポイントはパブリックにアクセスできません

関連する要件： NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20) NIST.800-53.r5 SC-7、 (21)、 NIST.800-53.r5 SC-7(3) NIST.800-53.r5 SC-7、 (4) NIST.800-53.r5 SC-7、 (9)PCIDSS、v4.0.1/1.4.4

カテゴリ: 保護 > セキュアなネットワーク設定 > パブリックアクセス不可のリソース

重要度: 高

リソースタイプ : AWS::EKS::Cluster

AWS Config ルール : eks-endpoint-no-public-access

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon EKSクラスターエンドポイントがパブリックにアクセス可能かどうかをチェックします。EKS クラスターにパブリックにアクセス可能なエンドポイントがある場合、コントロールは失敗します。

新しいクラスターを作成すると、Amazon はクラスターとの通信に使用するマネージド Kubernetes APIサーバーのエンドポイントEKSを作成します。デフォルトでは、このAPIサーバーエンドポイントはインターネットで公開されています。API サーバーへのアクセスは、 AWS Identity and Access Management （IAM) とネイティブ Kubernetes ロールベースのアクセスコントロール () の組み合わせを使用して保護されますRBAC。エンドポイントへのパブリックアクセスを削除することで、意図しない公開やクラスターへのアクセスを防ぐことができます。

修正

既存のEKSクラスターのエンドポイントアクセスを変更するには、「Amazon EKSユーザーガイド」の「クラスターエンドポイントアクセスの変更」を参照してください。新しいEKSクラスターの作成時に、そのクラスターのエンドポイントアクセスを設定できます。新しい Amazon EKSクラスターを作成する手順については、「Amazon ユーザーガイド」の「Amazon EKSクラスターの作成」を参照してください。 EKS

〔EKS.2] EKSクラスターは、サポートされている Kubernetes バージョンで実行する必要があります

関連する要件： NIST.800-53.r5 CA-9 (1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCIDSSv4.0.1/12.3.4

カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理

重要度: 高

リソースタイプ : AWS::EKS::Cluster

AWS Config ルール : eks-cluster-supported-version

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターがサポートされている Kubernetes バージョンで実行されているかどうかを確認します。EKS クラスターがサポートされていないバージョンで実行されている場合、コントロールは失敗します。

アプリケーションに特定のバージョンの Kubernetes が必要ない場合は、クラスターEKSで でサポートされている最新の利用可能な Kubernetes バージョンを使用することをお勧めします。詳細については、「Amazon ユーザーガイド」の「Amazon EKS Kubernetes リリースカレンダーと Amazon EKSバージョンサポート」およびFAQ「」を参照してください。 EKS

修正

EKS クラスターを更新するには、「Amazon ユーザーガイド」の「Amazon EKSクラスターの Kubernetes バージョンの更新」を参照してください。 EKS

〔EKS.3] EKSクラスターは暗号化された Kubernetes シークレットを使用する必要があります

関連する要件： NIST.800-53.r5 SC-8 、 NIST.800-53.r5 SC-12、 NIST.800-53.r5 SC-13、NIST.800-53.r5 SI-28、v4.0.1/8PCIDSS.3.2

カテゴリ： 保護 > データ保護 > の暗号化 data-at-rest

重要度: 中

リソースタイプ : AWS::EKS::Cluster

AWS Config ルール : eks-cluster-secrets-encrypted

スケジュールタイプ: 定期的

パラメータ : なし

このコントロールは、Amazon EKSクラスターが暗号化された Kubernetes シークレットを使用しているかどうかをチェックします。クラスターの Kubernetes シークレットが暗号化されていない場合、コントロールは失敗します。

シークレットを暗号化する場合、 AWS Key Management Service （AWS KMS) キーを使用して、クラスターの etcd に保存されている Kubernetes シークレットのエンベロープ暗号化を提供できます。この暗号化は、 EKSクラスターの一部として etcd に保存されているすべてのデータ (シークレットを含む) に対してデフォルトで有効になっているEBSボリューム暗号化に追加されます。EKS クラスターにシークレット暗号化を使用すると、ユーザーが定義して管理するKMSキーで Kubernetes シークレットを暗号化することで、Kubernetes アプリケーションの防御を詳細にデプロイできます。

修正

EKS クラスターでシークレット暗号化を有効にするには、「Amazon EKS ユーザーガイド」の「既存のクラスターでシークレット暗号化を有効にする」を参照してください。

〔EKS.6] EKSクラスターにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::EKS::Cluster

AWS Configルール: tagged-eks-cluster (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon EKSクラスターにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。クラスターにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、クラスターにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。プリンシIAMパルに対して 1 つのABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーは、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可するように設計できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。

修正

EKS クラスターにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EKSリソースのタグ付け」を参照してください。 EKS

〔EKS.7] EKS ID プロバイダー設定にはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度: 低

リソースタイプ : AWS::EKS::IdentityProviderConfig

AWS Configルール: tagged-eks-identityproviderconfig (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon EKS ID プロバイダー設定にパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。設定にタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、設定にキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認可戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。プリンシIAMパルに対して 1 つのABACポリシーまたは個別のポリシーセットを作成できます。これらのABACポリシーは、プリンシパルの タグがリソースタグと一致するときにオペレーションを許可するように設計できます。詳細については、「 IAMユーザーガイド」の「 とは AWS ABAC」を参照してください。

修正

EKS ID プロバイダー設定にタグを追加するには、「Amazon ユーザーガイド」の「Amazon EKSリソースのタグ付け」を参照してください。 EKS

〔EKS.8] EKSクラスターでは、監査ログ記録を有効にする必要があります

関連する要件： NIST.800-53.r5 AC-2 (12)、 NIST.800-53.r5 AC-2(4) NIST.800-53.r5 AC-4、 (26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.2.1

カテゴリ: 識別 > ログ記録

重要度: 中

リソースタイプ : AWS::EKS::Cluster

AWS Config ルール : eks-cluster-log-enabled

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

このコントロールは、Amazon EKSクラスターで監査ログ記録が有効になっているかどうかを確認します。クラスターで監査ログ記録が有効になっていない場合、コントロールは失敗します。

EKS コントロールプレーンのログ記録は、EKSコントロールプレーンからアカウントの Amazon CloudWatch Logs に直接監査ログと診断ログを提供します。必要なログタイプを選択でき、ログはログストリームとして各EKSクラスターのグループに送信されます CloudWatch。ログ記録は、EKSクラスターのアクセスとパフォーマンスを可視化します。EKS クラスターのEKSコントロールプレーンログを CloudWatch Logs に送信することで、監査と診断目的のオペレーションを一元的に記録できます。

修正

EKS クラスターの監査ログを有効にするには、「Amazon EKSユーザーガイド」の「コントロールプレーンログの有効化と無効化」を参照してください。