Como o Runtime Monitoring funciona com os EKS clusters da Amazon - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Runtime Monitoring funciona com os EKS clusters da Amazon

O Runtime Monitoring usa um EKScomplemento aws-guardduty-agent, também chamado de agente GuardDuty de segurança. Depois que o agente de GuardDuty segurança for implantado em seus EKS clusters, GuardDuty ele poderá receber eventos de tempo de execução para esses EKS clusters.

GuardDuty suporta EKS clusters da Amazon em execução somente em EC2 instâncias da Amazon. GuardDuty não oferece suporte a EKS clusters da Amazon em execução em. AWS Fargate

Você pode monitorar os eventos de tempo de execução dos seus EKS clusters da Amazon no nível da conta ou do cluster. Você pode gerenciar o agente GuardDuty de segurança somente para os EKS clusters da Amazon que você deseja monitorar para detecção de ameaças. Você pode gerenciar o agente GuardDuty de segurança manualmente ou permitindo que GuardDuty ele seja gerenciado em seu nome, usando a configuração automatizada do agente.

Quando você usa a abordagem de configuração automática do agente GuardDuty para permitir o gerenciamento da implantação do agente de segurança em seu nome, ele cria automaticamente um endpoint da Amazon Virtual Private Cloud (AmazonVPC). O agente de segurança entrega os eventos de tempo de execução GuardDuty usando esse VPC endpoint da Amazon.

Junto com o VPC endpoint, GuardDuty também cria um novo grupo de segurança. As regras de entrada (entrada) controlam o tráfego que pode alcançar os recursos associados ao grupo de segurança. GuardDuty adiciona regras de entrada que correspondem ao VPC CIDR intervalo do seu recurso e também se adapta a ele quando o CIDR intervalo muda. Para obter mais informações, consulte o VPCCIDRintervalo no Guia VPC do usuário da Amazon.

Observações
  • Não há custo adicional para o uso do VPC endpoint.

  • Trabalhando com um agente centralizado VPC e automatizado — Quando você usa a configuração GuardDuty automatizada do agente para um tipo de recurso, GuardDuty criará um VPC endpoint em seu nome para todos os. VPCs Isso inclui o centralizado VPC e o VPCs falado. GuardDuty não suporta a criação de um VPC endpoint apenas para o centralizadoVPC. Para obter mais informações sobre como a centralização VPC funciona, consulte VPCEndpoints de interface no AWS Whitepaper - Construindo uma infraestrutura de várias redes escalável e segura. VPC AWS

Abordagens para gerenciar agentes GuardDuty de segurança em EKS clusters da Amazon

Antes de 13 de setembro de 2023, você podia configurar GuardDuty para gerenciar o agente de segurança no nível da conta. Esse comportamento indicou que, por padrão, GuardDuty gerenciará o agente de segurança em todos os EKS clusters que pertencem a um Conta da AWS. Agora, GuardDuty fornece um recurso granular para ajudá-lo a escolher os EKS clusters nos quais você GuardDuty deseja gerenciar o agente de segurança.

Ao escolherGerencie o agente de GuardDuty segurança manualmente, você ainda pode selecionar os EKS clusters que deseja monitorar. No entanto, para gerenciar o agente manualmente, criar um VPC endpoint da Amazon para você Conta da AWS é um pré-requisito.

nota

Independentemente da abordagem usada para gerenciar o agente de GuardDuty segurança, o EKS Runtime Monitoring está sempre ativado no nível da conta.

Gerencie o agente de segurança por meio de GuardDuty

GuardDuty implanta e gerencia o agente de segurança em seu nome. A qualquer momento, você pode monitorar os EKS clusters em sua conta usando uma das abordagens a seguir.

Monitore todos os EKS clusters

Use essa abordagem quando quiser GuardDuty implantar e gerenciar o agente de segurança para todos os EKS clusters da sua conta. Por padrão, também GuardDuty implantará o agente de segurança em um EKS cluster potencialmente novo criado em sua conta.

Impacto do uso dessa abordagem
  • GuardDuty cria um endpoint da Amazon Virtual Private Cloud (AmazonVPC) por meio do qual o agente GuardDuty de segurança entrega os eventos de tempo de execução. GuardDuty Não há custo adicional para a criação do VPC endpoint da Amazon quando você gerencia o agente de segurança por meio GuardDuty de.

  • É necessário que seu nó de trabalho tenha um caminho de rede válido para um guardduty-data VPC endpoint ativo. GuardDuty implanta o agente de segurança em seus EKS clusters. O Amazon Elastic Kubernetes Service (EKSAmazon) coordenará a implantação do agente de segurança nos nós dentro dos clusters. EKS

  • Com base na disponibilidade de IP, GuardDuty seleciona a sub-rede para criar um VPC endpoint. Se você usa topologias de rede avançadas, deve validar se a conectividade é possível.

Excluir clusters seletivos EKS

Use essa abordagem quando quiser GuardDuty gerenciar o agente de segurança para todos os EKS clusters em sua conta, mas excluir EKS clusters seletivos. Esse método usa uma abordagem baseada em tag 1, na qual você pode marcar os EKS clusters para os quais não deseja receber os eventos de tempo de execução. A tag predefinida deve ter GuardDutyManaged-false como par de chave-valor.

Impacto do uso dessa abordagem

Essa abordagem exige que você ative o gerenciamento automático de GuardDuty agentes somente depois de adicionar tags aos EKS clusters que você deseja excluir do monitoramento.

Portanto, o impacto ao Gerencie o agente de segurança por meio de GuardDuty também se aplica a essa abordagem. Quando você adiciona tags antes de ativar o gerenciamento automático do GuardDuty agente, não GuardDuty implantará nem gerenciará o agente de segurança para os EKS clusters que estão excluídos do monitoramento.

Considerações
  • Você deve adicionar o par chave-valor da tag comoGuardDutyManaged: false para os EKS clusters seletivos antes de ativar a configuração automatizada do agente, caso contrário, o agente de GuardDuty segurança será implantado em todos os EKS clusters até que você use a tag.

  • Você deve evitar que as tags sejam modificadas, exceto por identidades confiáveis.

    Importante

    Gerencie as permissões para modificar o valor da GuardDutyManaged tag do seu EKS cluster usando políticas ou IAM políticas de controle de serviços. Para obter mais informações, consulte Políticas de controle de serviço (SCPs) no Guia AWS Organizations do usuário ou Controle o acesso aos AWS recursos no Guia IAM do usuário.

  • Para um EKS cluster potencialmente novo que você não deseja monitorar, certifique-se de adicionar o par de false valores-chave GuardDutyManaged - no momento da criação desse EKS cluster.

  • Essa abordagem também terá a mesma consideração especificada para Monitore todos os EKS clusters.

Incluir clusters seletivos EKS

Use essa abordagem quando quiser GuardDuty implantar e gerenciar as atualizações do agente de segurança somente para EKS clusters seletivos em sua conta. Esse método usa uma abordagem baseada em tag 1, na qual você pode marcar o EKS cluster para o qual deseja receber os eventos de tempo de execução.

Impacto do uso dessa abordagem
  • Ao usar tags de inclusão, GuardDuty implantará e gerenciará automaticamente o agente de segurança somente para os EKS clusters seletivos marcados com GuardDutyManaged - true como o par de valores-chave.

  • Essa abordagem também terá o mesmo impacto especificado para Monitore todos os EKS clusters.

Considerações
  • Se o valor da GuardDutyManaged tag não estiver definido comotrue, a tag de inclusão não funcionará conforme o esperado e isso poderá afetar o monitoramento EKS do cluster.

  • Para garantir que seus EKS clusters seletivos sejam monitorados, você precisa evitar que as tags sejam modificadas, exceto por identidades confiáveis.

    Importante

    Gerencie as permissões para modificar o valor da GuardDutyManaged tag do seu EKS cluster usando políticas ou IAM políticas de controle de serviços. Para obter mais informações, consulte Políticas de controle de serviço (SCPs) no Guia AWS Organizations do usuário ou Controle o acesso aos AWS recursos no Guia IAM do usuário.

  • Para um EKS cluster potencialmente novo que você não deseja monitorar, certifique-se de adicionar o par de false valores-chave GuardDutyManaged - no momento da criação desse EKS cluster.

  • Essa abordagem também terá a mesma consideração especificada para Monitore todos os EKS clusters.

1 Para obter mais informações sobre a marcação de EKS clusters seletivos, consulte Como marcar seus EKS recursos da Amazon no Guia do usuário da Amazon EKS.

Gerencie o agente de GuardDuty segurança manualmente

Use essa abordagem quando quiser implantar e gerenciar o agente GuardDuty de segurança em todos os seus EKS clusters manualmente. Certifique-se EKS de que o Runtime Monitoring esteja ativado para suas contas. O agente GuardDuty de segurança pode não funcionar conforme o esperado se você não ativar o EKS Runtime Monitoring.

Impacto do uso dessa abordagem

Você precisará coordenar a implantação do agente de GuardDuty segurança em seus EKS clusters em todas as contas e Regiões da AWS onde esse recurso estiver disponível. Você também precisará atualizar a versão do agente ao GuardDuty lançá-la. Para obter mais informações sobre as versões do agente paraEKS, consulteGuardDuty agente de segurança para EKS clusters da Amazon.

Considerações

Você deve oferecer suporte ao fluxo de dados seguro enquanto monitora e aborda as lacunas de cobertura à medida que novos clusters e cargas de trabalho são implantados continuamente.