本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
运行时监控如何与 Amazon EKS 集群配合使用
运行时监控使用EKS插件 aws-guardduty-agent,也称为 GuardDuty 安全代理。在您的EKS集群上部署 GuardDuty安全代理后, GuardDuty 就可以接收这些集EKS群的运行时事件了。
GuardDuty 仅支持在亚马逊EC2实例上运行的亚马逊EKS集群。 GuardDuty 不支持在上 AWS Fargate面运行的 Amazon EKS 集群。
您可以在账户或集群级别监控 Amazon EKS 集群的运行时事件。您只能管理要监控以进行威胁检测的 Amazon EKS 集群 GuardDuty 的安全代理。您可以手动管理 GuardDuty 安全客户端,也可以使用自动代理配置来代表您管理安全客户端。 GuardDuty
当您使用自动代理配置方法 GuardDuty 来允许代表您管理安全代理的部署时,它将自动创建一个 Amazon Virtual Private Cloud (AmazonVPC) 终端节点。安全代理使用此 Amazon VPC 终端节点将 GuardDuty 运行时事件传送到。
除了VPC终端节点外, GuardDuty 还会创建一个新的安全组。入站(入口)规则控制允许访问与安全组关联的资源的流量。 GuardDuty 添加与您的资源VPCCIDR范围相匹配的入站规则,并在CIDR范围发生变化时进行调整。有关更多信息,请参阅 Amazon VPC 用户指南中的VPCCIDR范围。
注意
-
使用VPC终端节点不会产生额外费用。
-
使用自动代理集中VPC使用——当你对某一资源类型使用 GuardDuty 自动代理配置时, GuardDuty 将代表你为所有资源类型创建一个VPC终端节点VPCs。这包括集中式VPC和分支式VPCs。 GuardDuty 不支持仅为集中式创建VPC端点VPC。有关集中式VPC工作原理的更多信息,请参阅AWS 白皮书《构建可扩展且安全的多VPC AWS 网络基础架构》中的接口VPC端点。
在 Amazon EKS 集群中管理 GuardDuty安全代理的方法
在 2023 年 9 月 13 日之前,您可以配置 GuardDuty 为在账户级别管理安全代理。此行为表明,默认情况下, GuardDuty 将在属于的所有EKS群集上管理安全代理 AWS 账户。现在, GuardDuty 提供了一种精细的功能来帮助您选择 GuardDuty 要管理安全代理的EKS集群。
选择后手动管理 GuardDuty 安全代理,您仍然可以选择要监控的EKS集群。但是,要手动管理代理,先决条件 AWS 账户 是为你创建 Amazon VPC 终端节点。
注意
无论您使用哪种方法来管理 GuardDuty 安全代理,都始终在帐户级别启用EKS运行时监控。
通过以下方式管理安全代理 GuardDuty
GuardDuty 代表您部署和管理安全客户端。在任何时候,您都可以使用以下方法之一监控您账户中的EKS集群。
监控所有EKS集群
如果您 GuardDuty 要为账户中的所有EKS集群部署和管理安全代理,请使用此方法。默认情况下,还 GuardDuty 会在您的账户中可能创建的新EKS集群上部署安全代理。
- 使用这种方法的影响
-
-
GuardDuty 创建一个 Amazon Virtual Private Cloud (AmazonVPC) 终端节点, GuardDuty 安全代理通过该终端节点将运行时事件传送到 GuardDuty。当您通过管理安全代理时,创建 Amazon VPC 终端节点不会产生额外费用 GuardDuty。
-
您的工作节点必须具有通往活动
guardduty-dataVPC终端节点的有效网络路径。 GuardDuty 在您的EKS集群上部署安全代理。Amazon Elastic Kubernetes Service(EKS亚马逊)将协调安全代理在集群内节点上的部署。EKS -
根据 IP 可用性, GuardDuty 选择要创建VPC端点的子网。如果您使用高级网络拓扑,则必须验证连接是否可行。
-
排除选择性EKS集群
如果您 GuardDuty 想管理账户中所有EKS集群的安全代理,但不包括部分群集,请使用此方法。EKS此方法使用基于标签的 1 方法,在这种方法中,您可以标记不想接收其运行时事件的EKS集群。预定义标签必须以 GuardDutyManaged-false 作为键值对。
- 使用这种方法的影响
-
此方法要求只有在向要排除在监控范围之外的EKS集群添加标签后,才能启用 GuardDuty 代理自动管理。
因此,当 通过以下方式管理安全代理 GuardDuty 适用于此方法时,也会产生影响。在启用 GuardDuty 代理自动管理之前添加标签时,既 GuardDuty 不会为不受监控的EKS集群部署也不管理安全代理。
- 注意事项
-
-
在启用自动代理配置之前,必须将标签键值对添加为
GuardDutyManaged:false对于选定的EKS集群,否则,在使用标签之前, GuardDuty 安全代理将部署在所有EKS集群上。 -
您必须防止标签被修改,除非由可信身份修改。
重要
使用服务控制策略或IAM策略管理修改EKS集群
GuardDutyManaged标签值的权限。有关更多信息,请参阅用户指南中的服务控制策略 (SCPs) 或AWS Organizations 用户指南中的IAM控制 AWS 资源访问权限。 -
对于您不想监控的潜在新EKS集群,请务必在创建此EKS集群时添加
GuardDutyManaged-false键值对。 -
此方法的注意事项与 监控所有EKS集群 的注意事项相同。
-
包括选择性EKS集群
如果您只 GuardDuty 想为账户中的部分EKS集群部署和管理安全代理更新,请使用此方法。此方法使用基于标签的 1 方法,在这种方法中,您可以标记要接收其运行时事件的EKS集群。
- 使用这种方法的影响
-
-
通过使用包含标签, GuardDuty 将仅针对标有
GuardDutyManaged-true作为键值对的选定EKS集群自动部署和管理安全代理。 -
使用此方法的影响与 监控所有EKS集群 的影响相同。
-
- 注意事项
-
-
如果
GuardDutyManaged标签的值未设置为true,则包含标签将无法按预期工作,这可能会影响对EKS集群的监控。 -
为确保您选择的EKS集群受到监控,您需要防止修改标签,但可信身份除外。
重要
使用服务控制策略或IAM策略管理修改EKS集群
GuardDutyManaged标签值的权限。有关更多信息,请参阅用户指南中的服务控制策略 (SCPs) 或AWS Organizations 用户指南中的IAM控制 AWS 资源访问权限。 -
对于您不想监控的潜在新EKS集群,请务必在创建此EKS集群时添加
GuardDutyManaged-false键值对。 -
此方法的注意事项与 监控所有EKS集群 的注意事项相同。
-
1 有关为选定EKS集群添加标签的更多信息,请参阅《亚马逊EKS用户指南》中的为EKS您的亚马逊资源添加标签。
手动管理 GuardDuty 安全代理
如果您想在所有EKS集群上手动部署和管理 GuardDuty 安全代理,请使用此方法。确保您的账户已启用EKS运行时监控。如果您不启用EKS运行时监控,则 GuardDuty安全代理可能无法按预期运行。
- 使用这种方法的影响
-
您需要协调EKS集群内所有账户以及该功能可用 AWS 区域 位置 GuardDuty 的安全代理的部署。发布代理 GuardDuty 版本时,您还需要对其进行更新。有关代理版本的更多信息EKS,请参阅GuardDuty 适用于 Amazon EKS 集群的安全代理。
- 注意事项
-
随着新集群和工作负载的不断部署,您必须支持安全的数据流,同时监控和解决覆盖差距。
