本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
執行期監控使用 EKS 附加元件 aws-guardduty-agent,也稱為 GuardDuty 安全代理程式。GuardDuty 安全代理程式部署在您的 EKS 叢集之後,GuardDuty 就能夠接收這些 EKS 叢集的執行期事件。
備註
執行期監控支援在 Amazon EC2 執行個體和 Amazon EKS Auto 模式上執行的 Amazon EKS 叢集。
執行期監控不支援具有 Amazon EKS 混合節點的 Amazon EKS 叢集,以及執行在其中的叢集 AWS Fargate。
如需有關這些 Amazon EKS 功能的資訊,請參閱《Amazon EKS 使用者指南》中的什麼是 Amazon EKS?。
您可以在帳戶或叢集層級監控 Amazon EKS 叢集的執行期事件。您只能為要監控威脅偵測的 Amazon EKS 叢集管理 GuardDuty 安全代理程式。您可以使用自動代理程式組態,手動管理 GuardDuty 安全代理程式,或允許 GuardDuty 代表您管理它。
當您使用自動化代理程式組態方法允許 GuardDuty 代表您管理安全代理程式的部署時,它會自動建立 Amazon Virtual Private Cloud (Amazon VPC) 端點。安全代理程式使用此 Amazon VPC 端點將執行期事件交付至 GuardDuty。
除了 VPC 端點之外,GuardDuty 也會建立新的安全群組。傳入 (傳入) 規則控制允許存取與安全群組相關聯的資源的流量。GuardDuty 新增符合資源 VPC CIDR 範圍的傳入規則,並在 CIDR 範圍變更時加以調整。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的 VPC CIDR 範圍。
備註
-
VPC 端點的使用無需額外費用。
-
使用具有自動代理程式的集中式 VPC – 當您針對資源類型使用 GuardDuty 自動代理程式組態時,GuardDuty 會代表您為所有 VPC 建立 VPCs 端點。這包括集中式 VPC 和語音 VPCs。GuardDuty 不支援僅針對集中式 VPC 建立 VPC 端點。如需集中式 VPC 運作方式的詳細資訊,請參閱AWS 白皮書 - 建置可擴展且安全的多 VPC AWS 網路基礎設施中的界面 VPC 端點。
在 Amazon EKS 叢集中管理 GuardDuty 安全代理程式的方法
在 2023 年 9 月 13 日之前,您可以將 GuardDuty 設定為管理帳戶層級的安全代理程式。此行為表示,GuardDuty 預設管理屬於 AWS 帳戶之所有 EKS 叢集上的安全代理程式。現在 GuardDuty 提供精細的功能,有助於您選擇要讓 GuardDuty 管理安全代理程式的 EKS 叢集。
選擇 手動管理 GuardDuty 安全代理程式 時,您仍可選取要監控的 EKS 叢集。不過,若要手動管理代理程式,為您的 建立 Amazon VPC 端點 AWS 帳戶 是先決條件。
注意
無論使用哪種方法來管理 GuardDuty 安全代理程式,一律會在帳戶層級啟用 EKS 執行期監控。
透過 GuardDuty 管理安全代理程式
GuardDuty 代表您部署和管理安全代理程式。您可以在任何時間點使用下列其中一種方法來監控帳戶中的 EKS 叢集。
監控所有 EKS 叢集
當您希望 GuardDuty 部署和管理您帳戶中所有 EKS 叢集的安全代理程式時,請使用此方法。依預設,GuardDuty 也會在您帳戶中建立的潛在新 EKS 叢集上部署安全代理程式。
- 使用此方法的影響
-
-
GuardDuty 建立一個 Amazon Virtual Private Cloud (Amazon VPC) 端點,然後 GuardDuty 安全代理程式透過該端點將執行期事件傳送給 GuardDuty。透過 GuardDuty 管理安全代理程式時,無需額外付費即可建立 Amazon VPC 端點。
-
您的工作節點必須具有作用中
guardduty-dataVPC 端點的有效網路路徑。GuardDuty 會在您的 EKS 叢集上部署安全代理程式。Amazon Elastic Kubernetes Service (Amazon EKS) 將協調在 EKS 叢集中的節點上部署安全代理程式。 -
GuardDuty 會根據 IP 可用性選取子網路來建立 VPC 端點。如果使用進階網路拓撲,則須驗證是否可以連線。
-
排除選擇性 EKS 叢集
當您想要 GuardDuty 管理您帳戶中所有 EKS 叢集的安全代理程式,但排除選擇性 EKS 叢集時,請使用此方法。此方法使用標籤型1方法,其中您可以標記不要接收執行期事件的 EKS 叢集。預先定義的標籤必須具有 GuardDutyManaged-false 作為鍵值對。
- 使用此方法的影響
-
此方法要求您只有在將標籤新增至要排除監控的 EKS 叢集後,才能啟用 GuardDuty 代理程式自動管理。
因此,當您 透過 GuardDuty 管理安全代理程式 時,此影響也適用於此方法。在啟用 GuardDuty 代理程式自動管理前新增標籤時,GuardDuty 將不會部署和管理排除監控的 EKS 叢集的安全代理程式。
- 考量
-
-
您必須先將標籤鍵/值對新增為
GuardDutyManaged:false對於選擇性 EKS 叢集,再啟用自動代理程式組態,否則 GuardDuty 安全代理程式會部署在所有 EKS 叢集上,直到您使用標籤為止。 -
您必須防止標籤遭到修改 (僅允許可信身分進行修改)。
重要
使用服務控制政策或 IAM 政策來管理修改 EKS 叢集的
GuardDutyManaged標籤值的許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的服務控制政策 (SCP) 或《IAM 使用者指南》中的控制對 AWS 資源的存取權。 -
對於不想要監控的潛在新 EKS 叢集,請確定在建立此 EKS 叢集時新增
GuardDutyManaged-false鍵值對。 -
此方法的考量事項與 監控所有 EKS 叢集 的考量事項相同。
-
包含選擇性 EKS 叢集
當您希望 GuardDuty 僅針對您帳戶中的選擇性 EKS 叢集部署和管理安全代理程式的更新時,請使用此方法。此方法使用標籤型1方法,其中您可以標記要接收執行期事件的 EKS 叢集。
- 使用此方法的影響
-
-
透過使用包含標籤,GuardDuty 只會針對標記為 的選擇性 EKS 叢集自動部署和管理安全代理程式
GuardDutyManaged,true做為鍵/值對。 -
使用此方法所帶來的影響與 監控所有 EKS 叢集 的相同。
-
- 考量
-
-
如果
GuardDutyManaged標籤的值未設定為true,包含標籤將不會如預期般運作,而且這可能會對 EKS 叢集的監控帶來影響。 -
若要確保您的選定 EKS 叢集受到監控,則需要防止標籤遭到修改 (僅允許可信身分進行修改)。
重要
使用服務控制政策或 IAM 政策來管理修改 EKS 叢集的
GuardDutyManaged標籤值的許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的服務控制政策 (SCP) 或《IAM 使用者指南》中的控制對 AWS 資源的存取權。 -
對於不想要監控的潛在新 EKS 叢集,請確定在建立此 EKS 叢集時新增
GuardDutyManaged-false鍵值對。 -
此方法的考量事項與 監控所有 EKS 叢集 的考量事項相同。
-
1如需有關標記選定 EKS 叢集的詳細資訊,請參閱《Amazon EKS 使用者指南》中的為您的 Amazon EKS 資源加上標籤。
手動管理 GuardDuty 安全代理程式
當您想要手動在所有 EKS 叢集上部署和管理 GuardDuty 安全代理程式時,請使用此方法。確保您的帳戶已啟用 EKS 執行期監控。如果您未啟用 EKS 執行期監控,GuardDuty 安全代理程式可能無法如預期般運作。
- 使用此方法的影響
-
您需要協調 EKS 叢集中所有帳戶以及此功能可用 AWS 區域 位置的 GuardDuty 安全代理程式部署。當 GuardDuty 發行代理程式版本時,您也需要更新代理程式版本。如需 EKS 代理程式版本的詳細資訊,請參閱Amazon EKS 叢集的 GuardDuty 安全代理程式。
- 考量
-
在持續部署新的叢集和工作負載時,您必須支援安全的資料流程,同時監控和解決涵蓋範圍差距。
