Como o Monitoramento de runtime funciona com clusters Amazon EKS - Amazon GuardDuty
Abordagens para gerenciar agentes GuardDuty de segurança em clusters do Amazon EKS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Monitoramento de runtime funciona com clusters Amazon EKS

O Runtime Monitoring usa um complemento EKS aws-guardduty-agent, também chamado de agente GuardDuty de segurança. Depois que o agente de GuardDuty segurança é implantado em seus clusters EKS, GuardDuty é capaz de receber eventos de tempo de execução para esses clusters EKS.

Observações

O Runtime Monitoring é compatível com clusters do Amazon EKS executados em EC2 instâncias da Amazon e no Amazon EKS Auto Mode.

O Runtime Monitoring não é compatível com clusters do Amazon EKS com Amazon EKS Hybrid Nodes e aqueles em execução AWS Fargate.

Para obter informações sobre esses recursos do Amazon EKS, consulte O que é o Amazon EKS? no Guia do usuário do Amazon EKS.

Você pode monitorar os eventos de runtime de seus clusters do Amazon EKS no nível da conta ou do cluster. Você pode gerenciar o agente GuardDuty de segurança somente para os clusters do Amazon EKS que você deseja monitorar para detecção de ameaças. Você pode gerenciar o agente GuardDuty de segurança manualmente ou permitindo que GuardDuty ele seja gerenciado em seu nome, usando a configuração automatizada do agente.

Quando você usa a abordagem de configuração automática do agente GuardDuty para permitir o gerenciamento da implantação do agente de segurança em seu nome, ele cria automaticamente um endpoint da Amazon Virtual Private Cloud (Amazon VPC). O agente de segurança entrega os eventos de tempo de execução GuardDuty usando esse endpoint da Amazon VPC.

Junto com o VPC endpoint, GuardDuty também cria um novo grupo de segurança. As regras de entrada (entrada) controlam o tráfego que pode alcançar os recursos associados ao grupo de segurança. GuardDuty adiciona regras de entrada que correspondem ao intervalo CIDR da VPC para seu recurso e também se adapta a ele quando o intervalo CIDR muda. Para obter mais informações, consulte Intervalo CIDR da VPC no Guia do Usuário da Amazon VPC.

Observações

  • Não há custo adicional para usar o endpoint da VPC.

  • Trabalhando com VPC centralizada com agente automatizado — Quando você GuardDuty usa a configuração automatizada de agente para um tipo de recurso GuardDuty , criará um VPC endpoint em seu nome para todos os. VPCs Isso inclui a VPC e o spoke centralizados. VPCs GuardDuty não oferece suporte à criação de um VPC endpoint somente para a VPC centralizada. Para obter mais informações sobre como a VPC centralizada funciona, consulte Interface VPC endpoints no Whitepaper — Criando uma infraestrutura de rede AWS multi-VPC escalável e segura. AWS

Abordagens para gerenciar agentes GuardDuty de segurança em clusters do Amazon EKS

Antes de 13 de setembro de 2023, você podia configurar GuardDuty para gerenciar o agente de segurança no nível da conta. Esse comportamento indicou que, por padrão, GuardDuty gerenciará o agente de segurança em todos os clusters EKS que pertencem a um Conta da AWS. Agora, GuardDuty fornece um recurso granular para ajudá-lo a escolher os clusters EKS nos quais você GuardDuty deseja gerenciar o agente de segurança.

Ao escolher Gerencie o agente de GuardDuty segurança manualmente, você ainda pode selecionar os clusters do EKS que deseja monitorar. No entanto, para gerenciar o agente manualmente, criar um endpoint da Amazon VPC para você Conta da AWS é um pré-requisito.

nota

Independentemente da abordagem usada para gerenciar o agente de GuardDuty segurança, o EKS Runtime Monitoring está sempre ativado no nível da conta.

Gerencie o agente de segurança por meio de GuardDuty

GuardDuty implanta e gerencia o agente de segurança em seu nome. A qualquer momento, você pode monitorar os clusters do EKS em sua conta usando uma das abordagens a seguir.

Monitorar todos os clusters do EKS

Use essa abordagem quando quiser GuardDuty implantar e gerenciar o agente de segurança para todos os clusters EKS em sua conta. Por padrão, também GuardDuty implantará o agente de segurança em um cluster EKS potencialmente novo criado em sua conta.

Impacto do uso dessa abordagem

  • GuardDuty cria um endpoint da Amazon Virtual Private Cloud (Amazon VPC) por meio do qual o agente de GuardDuty segurança entrega os eventos de tempo de execução. GuardDuty Não há custo adicional para a criação do endpoint Amazon VPC quando você gerencia o agente de segurança por meio de. GuardDuty

  • É necessário que seu nó de trabalho tenha um caminho de rede válido para um guardduty-data VPC endpoint ativo. GuardDuty implanta o agente de segurança em seus clusters EKS. O Amazon Elastic Kubernetes Service (Amazon EKS) coordenará a implantação do agente de segurança nos nós dos clusters do EKS.

  • Com base na disponibilidade de IP, GuardDuty seleciona a sub-rede para criar um VPC endpoint. Se você usa topologias de rede avançadas, deve validar se a conectividade é possível.

Excluir clusters seletivos do EKS

Use essa abordagem quando quiser GuardDuty gerenciar o agente de segurança para todos os clusters EKS em sua conta, mas excluir clusters EKS seletivos. Esse método usa uma abordagem baseada em tags1 em que é possível marcar os clusters do EKS dos quais não deseja receber os eventos de runtime. A tag predefinida deve ter GuardDutyManaged-false como par de chave-valor.

Impacto do uso dessa abordagem

Essa abordagem exige que você ative o gerenciamento automático do GuardDuty agente somente depois de adicionar tags aos clusters EKS que você deseja excluir do monitoramento.

Portanto, o impacto ao Gerencie o agente de segurança por meio de GuardDuty também se aplica a essa abordagem. Quando você adiciona tags antes de ativar o gerenciamento automático do GuardDuty agente, não GuardDuty implantará nem gerenciará o agente de segurança para os clusters EKS que estão excluídos do monitoramento.

Considerações

  • Você deve adicionar o par de chave-valor da tag comoGuardDutyManaged: false para os clusters EKS seletivos antes de ativar a configuração automatizada do agente, caso contrário, o agente de GuardDuty segurança será implantado em todos os clusters EKS até que você use a tag.

  • Você deve evitar que as tags sejam modificadas, exceto por identidades confiáveis.

    Importante

    Gerencie as permissões para modificar o valor da tag GuardDutyManaged para seu cluster do EKS usando políticas de controle de serviço ou políticas do IAM. Para obter mais informações, consulte Políticas de controle de serviço (SCPs) no Guia AWS Organizations do usuário ou Controle o acesso aos AWS recursos no Guia do usuário do IAM.

  • Para um cluster do EKS possivelmente novo que você não deseja monitorar, certifique-se de adicionar o par de chave-valor GuardDutyManaged-false no momento da criação desse cluster do EKS.

  • Essa abordagem também terá a mesma consideração especificada para Monitorar todos os clusters do EKS.

Incluir clusters seletivos do EKS

Use essa abordagem quando quiser GuardDuty implantar e gerenciar as atualizações do agente de segurança somente para clusters EKS seletivos em sua conta. Esse método usa uma abordagem baseada em tags1 em que é possível marcar o cluster do EKS do qual deseja receber os eventos de runtime.

Impacto do uso dessa abordagem

  • Ao usar tags de inclusão, GuardDuty implantará e gerenciará automaticamente o agente de segurança somente para os clusters EKS seletivos marcados com GuardDutyManaged - true como o par de valores-chave.

  • Essa abordagem também terá o mesmo impacto especificado para Monitorar todos os clusters do EKS.

Considerações

  • Se o valor da tag GuardDutyManaged não estiver definido como true, a tag de inclusão não funcionará conforme o esperado e isso pode afetar o monitoramento do seu cluster do EKS.

  • Para garantir que seus clusters do EKS seletivos sejam monitorados, você precisa evitar que as tags sejam modificadas, exceto por identidades confiáveis.

    Importante

    Gerencie as permissões para modificar o valor da tag GuardDutyManaged para seu cluster do EKS usando políticas de controle de serviço ou políticas do IAM. Para obter mais informações, consulte Políticas de controle de serviço (SCPs) no Guia AWS Organizations do usuário ou Controle o acesso aos AWS recursos no Guia do usuário do IAM.

  • Para um cluster do EKS possivelmente novo que você não deseja monitorar, certifique-se de adicionar o par de chave-valor GuardDutyManaged-false no momento da criação desse cluster do EKS.

  • Essa abordagem também terá a mesma consideração especificada para Monitorar todos os clusters do EKS.

1Para obter mais informações sobre a marcação de clusters do EKS seletivos, consulte Como marcar seus recursos do Amazon EKS no Guia do usuário do Amazon EKS.

Gerencie o agente de GuardDuty segurança manualmente

Use essa abordagem quando quiser implantar e gerenciar o agente GuardDuty de segurança em todos os seus clusters EKS manualmente. Certifique-se de que o Monitoramento de runtime do EKS esteja ativado para suas contas. O agente GuardDuty de segurança pode não funcionar conforme o esperado se você não ativar o EKS Runtime Monitoring.

Impacto do uso dessa abordagem

Você precisará coordenar a implantação do agente de GuardDuty segurança em seus clusters EKS em todas as contas e Regiões da AWS onde esse recurso estiver disponível. Você também precisará atualizar a versão do agente ao GuardDuty lançá-la. Para obter mais informações sobre versões do agente no EKS, consulte GuardDuty agente de segurança para clusters Amazon EKS.

Considerações

Você deve oferecer suporte ao fluxo de dados seguro enquanto monitora e aborda as lacunas de cobertura à medida que novos clusters e workloads são implantados continuamente.