**帮助改进此页面** 

要帮助改进本用户指南，请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。

# 分析 Amazon EKS 中的漏洞
<a name="configuration-vulnerability-analysis"></a>

安全性是配置和维护 Kubernetes 集群和应用程序的重要注意事项。下方列出了供您分析 EKS 集群安全配置的资源、用于检查漏洞的资源，以及可为您执行该分析的 AWS 服务的集成。

## 适用于 Amazon EKS 的互联网安全中心（CIS）基准
<a name="configuration-vulnerability-analysis-cis"></a>

[Center for Internet Security（CIS）Kubernetes 基准](https://www.cisecurity.org/benchmark/kubernetes/)提供了关于 Amazon EKS 安全配置的指导。该基准：
+ 适用于 Amazon EC2 节点（托管和自我管理），您在其中负责 Kubernetes 组件的安全配置。
+ 提供了一种社区批准的标准方法，以确保您在使用 Amazon EKS 时已安全地配置了 Kubernetes 集群和节点。
+ 由四个部分组成：控制层面日志记录配置、节点安全配置、策略和托管服务。
+ 支持 Amazon EKS 中当前提供的所有 Kubernetes 版本，并且可以使用 [kube-bench](https://github.com/aquasecurity/kube-bench)（一个用于在 Kubernetes 集群上使用 CIS 基准检查配置的标准开源工具）运行。

要了解更多信息，请参阅 [CIS Amazon EKS 基准简介](https://aws.amazon.com/blogs/containers/introducing-cis-amazon-eks-benchmark)。

有关使用 CIS 基准 AMI 更新节点组的自动 `aws-sample` 管道，请参阅 [EKS-Optimized AMI Hardening Pipeline](https://github.com/aws-samples/pipeline-for-hardening-eks-nodes-and-automating-updates)。

## Amazon EKS 平台版本
<a name="configuration-vulnerability-analysis-pv"></a>

Amazon EKS *平台版本*表示集群控制面板的功能，包括启用哪些 Kubernetes API 服务器标志和当前的 Kubernetes 补丁版本。使用最新平台版本部署新集群。有关详细信息，请参阅 [EKS platform-versions](https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html)。

您可以[将 Amazon EKS 集群更新到](update-cluster.md)更新的 Kubernetes 版本。随着新 Kubernetes 版本在 Amazon EKS 中提供，我们建议您主动将集群更新为使用最新的可用版本。要了解有关 EKS 中 Kubernetes 版本的更多信息，请参阅 [Amazon EKS 支持的版本](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html)。

## 操作系统漏洞列表
<a name="configuration-vulnerability-analysis-os"></a>

### AL2023 漏洞列表
<a name="configuration-vulnerability-analysis-al2023"></a>

在 [Amazon Linux 安全中心](https://alas.aws.amazon.com/alas2023.html)跟踪 Amazon Linux 2023 的安全和隐私事件，或订阅关联的 [RSS 源](https://alas.aws.amazon.com/AL2023/alas.rss)。安全和隐私事件包括受影响问题的概述、程序包以及更新实例以解决问题的说明。

### Amazon Linux 2 漏洞列表
<a name="configuration-vulnerability-analysis-al2"></a>

在 [Amazon Linux 安全中心](https://alas.aws.amazon.com/alas2.html)跟踪 Amazon Linux 2 的安全和隐私事件，或订阅关联的 [RSS 源](https://alas.aws.amazon.com/AL2/alas.rss)。安全和隐私事件包括受影响问题的概述、程序包以及更新实例以解决问题的说明。

## 使用 Amazon Inspector 进行节点检测
<a name="configuration-vulnerability-analysis-inspector"></a>

您可以使用 [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html) 来检查节点的意外网络访问和这些 Amazon EC2 实例上的漏洞。

## 使用 Amazon GuardDuty 进行集群和节点检测
<a name="configuration-vulnerability-analysis-guardduty"></a>

Amazon GuardDuty 是一项威胁检测服务，有助于保护您的账户、容器、工作负载和 AWS 环境中的数据。除其他功能外，GuardDuty 还提供以下两项功能，用于检测 EKS 集群面临的潜在威胁：*EKS 保护*和*运行时监控*。

有关更多信息，请参阅 [使用 Amazon GuardDuty 检测威胁](integration-guardduty.md)。