As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para Amazon EKS
Esses controles do Security Hub avaliam o serviço e os recursos do Amazon Elastic Kubernetes Service (EKSAmazon).
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[EKS.1] os endpoints EKS do cluster não devem ser acessíveis ao público
Requisitos relacionados: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Categoria: Proteger > Configuração de rede segura > Recursos não acessíveis ao público
Severidade: alta
Tipo de recurso: AWS::EKS::Cluster
AWS Config regra: eks-endpoint-no-public-access
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um endpoint de EKS cluster da Amazon está acessível publicamente. O controle falhará se um EKS cluster tiver um endpoint acessível ao público.
Quando você cria um novo cluster, a Amazon EKS cria um endpoint para o API servidor Kubernetes gerenciado que você usa para se comunicar com seu cluster. Por padrão, esse endpoint API do servidor está disponível publicamente na Internet. O acesso ao API servidor é protegido usando uma combinação de AWS Identity and Access Management (IAM) e controle de acesso baseado em funções nativo do Kubernetes (). RBAC Ao remover o acesso público ao endpoint, você pode evitar a exposição e o acesso não intencionais ao seu cluster.
Correção
Para modificar o acesso ao endpoint para um EKS cluster existente, consulte Modificar o acesso ao endpoint do cluster no Guia do usuário da Amazon EKS. Você pode configurar o acesso ao endpoint para um novo EKS cluster ao criá-lo. Para obter instruções sobre como criar um novo EKS cluster da Amazon, consulte Criação de um EKS cluster da Amazon no Guia EKS do usuário da Amazon.
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 SI-2, .800-53.r5 SI-2 (2), NIST .800-53.r5 SI-2 (4), NIST .800-53.r5 SI-2 (5) NIST NIST
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Severidade: alta
Tipo de recurso: AWS::EKS::Cluster
AWS Config regra: eks-cluster-supported-version
Tipo de programação: acionado por alterações
Parâmetros:
-
oldestVersionSupported:1.28(não personalizável)
Esse controle verifica se um cluster do Amazon Elastic Kubernetes Service (EKSAmazon) é executado em uma versão compatível do Kubernetes. O controle falhará se o EKS cluster for executado em uma versão não compatível.
Se seu aplicativo não exigir uma versão específica do Kubernetes, recomendamos que você use a versão mais recente disponível do Kubernetes compatível com seus clusters. EKS Para obter mais informações, consulte o calendário de lançamento do Amazon EKS Kubernetes, o suporte à EKS versão da Amazon e FAQ o Guia do usuário da Amazon EKS.
Correção
Para atualizar um EKS cluster, Atualizar uma versão do Kubernetes EKS do cluster da Amazon no Guia do usuário da Amazon EKS.
[EKS.3] os EKS clusters devem usar segredos criptografados do Kubernetes
Requisitos relacionados: NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-1 2, NIST.800-53.r5 SC-1 3, NIST .800-53.r5 SI-28
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Severidade: média
Tipo de recurso: AWS::EKS::Cluster
AWS Config regra: eks-secrets-encrypted
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se um EKS cluster da Amazon usa segredos criptografados do Kubernetes. O controle falhará se os segredos do Kubernetes do cluster não estiverem criptografados.
Ao criptografar segredos, você pode usar AWS Key Management Service (AWS KMS) chaves para fornecer criptografia de envelope dos segredos do Kubernetes armazenados no etcd para seu cluster. Essa criptografia é um acréscimo à criptografia de EBS volume ativada por padrão para todos os dados (incluindo segredos) armazenados no etcd como parte de um EKS cluster. O uso da criptografia de segredos em seu EKS cluster permite implantar uma estratégia de defesa aprofundada para aplicativos Kubernetes, criptografando segredos do Kubernetes com uma KMS chave que você define e gerencia.
Correção
Para habilitar a criptografia secreta em um EKS cluster, consulte Habilitar a criptografia secreta em um cluster existente no Guia EKS do usuário da Amazon.
[EKS.6] os EKS clusters devem ser marcados
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EKS::Cluster
AWS Config regra: tagged-eks-cluster (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se um EKS cluster da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o cluster não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o cluster não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags a um EKS cluster, consulte Como marcar seus EKS recursos da Amazon no Guia do EKS usuário da Amazon.
[EKS.7] as configurações do provedor de EKS identidade devem ser marcadas
Categoria: Identificar > Inventário > Marcação
Severidade: baixa
Tipo de recurso: AWS::EKS::IdentityProviderConfig
AWS Config regra: tagged-eks-identityproviderconfig (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de chaves de tag que não são do sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList | Lista de tags que atendem AWS requisitos | Nenhum valor padrão |
Esse controle verifica se a configuração de um provedor de EKS identidade da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se a configuração não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se a configuração não estiver marcada com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.
nota
Não adicione informações de identificação pessoal (PII) ou outras informações confidenciais ou sigilosas nas tags. As tags são acessíveis a muitos Serviços da AWS, incluindo AWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seu AWS recursos no Referência geral da AWS.
Correção
Para adicionar tags às configurações de um provedor de EKS identidade, consulte Como marcar EKS seus recursos da Amazon no Guia EKS do usuário da Amazon.
[EKS.8] os EKS clusters devem ter o registro de auditoria ativado
Requisitos relacionados: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9), NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST NIST
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::EKS::Cluster
AWS Config regra: eks-cluster-log-enabled
Tipo de programação: acionado por alterações
Parâmetros:
logTypes: audit(não personalizável)
Esse controle verifica se um EKS cluster da Amazon tem o registro de auditoria ativado. O controle falhará se o registro em log de auditoria não estiver habilitado para o cluster.
nota
Esse controle não verifica se o registro de EKS auditoria da Amazon está habilitado por meio do Amazon Security Lake para o Conta da AWS.
EKSo registro do plano de controle fornece registros de auditoria e diagnóstico diretamente do plano de EKS controle para o Amazon CloudWatch Logs em sua conta. Você pode selecionar os tipos de log necessários, e os registros são enviados como fluxos de log para um grupo para cada EKS cluster em CloudWatch. O registro fornece visibilidade do acesso e do desempenho dos EKS clusters. Ao enviar registros do plano de EKS controle de seus EKS clusters para o CloudWatch Logs, você pode registrar operações para fins de auditoria e diagnóstico em um local central.
Correção
Para habilitar registros de auditoria para seu EKS cluster, consulte Ativação e desativação de registros do plano de controle no Guia do EKS usuário da Amazon.
