Runtime Monitoring 如何與 Amazon EKS叢集搭配使用 - Amazon GuardDuty
在 Amazon EKS叢集中管理 GuardDuty安全代理程式的方法

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Runtime Monitoring 如何與 Amazon EKS叢集搭配使用

執行期監控使用EKS附加元件 aws-guardduty-agent,也稱為 GuardDuty 安全代理程式。在EKS叢集上部署安全代理程式之後 GuardDuty, GuardDuty 就能夠接收這些EKS叢集的執行期事件。

備註

執行期監控支援在 Amazon EC2執行個體和 Amazon EKS Auto 模式上執行的 Amazon EKS叢集。

執行期監控不支援具有 Amazon EKS混合節點的 Amazon EKS叢集,以及執行在其中的叢集 AWS Fargate。

如需這些 Amazon EKS功能的相關資訊,請參閱《Amazon 使用者指南》中的什麼是 AmazonEKSEKS?。

您可以在帳戶或EKS叢集層級監控 Amazon 叢集的執行期事件。您只能為要監控威脅偵測的 Amazon EKS叢集管理 GuardDuty 安全代理程式。您可以使用自動化代理程式組態,手動管理 GuardDuty 安全代理程式,或允許 代表您 GuardDuty 管理安全代理程式。

當您使用自動化代理程式組態方法 GuardDuty 允許 代表您管理安全代理程式的部署時,它會自動建立 Amazon Virtual Private Cloud (Amazon VPC) 端點。安全代理程式 GuardDuty 使用此 Amazon VPC端點將執行期事件交付至 。

除了VPC端點之外, GuardDuty 也會建立新的安全群組。傳入 (傳入) 規則控制允許到達與安全群組相關聯的資源的流量。 GuardDuty 新增符合資源VPCCIDR範圍的傳入規則,並在CIDR範圍變更時加以調整。如需詳細資訊,請參閱《Amazon VPC使用者指南》中的VPCCIDR範圍

備註

  • 端點的使用無需額外費用VPC。

  • VPC 使用 與自動化代理程式集中化 - 當您使用資源類型的 GuardDuty 自動化代理程式組態時, GuardDuty 會代表您為所有 建立VPC端點VPCs。這包括集中式VPC和輪輻 VPCs。 GuardDuty 不支援僅針對集中式 建立VPC端點VPC。如需集中VPC式 運作方式的詳細資訊,請參閱AWS 白皮書 - 建置可擴展且安全的多VPC AWS 網路基礎設施中的介面VPC端點

在 Amazon EKS叢集中管理 GuardDuty安全代理程式的方法

在 2023 年 9 月 13 日之前,您可以設定 GuardDuty 在帳戶層級管理安全代理程式。此行為表示,根據預設, GuardDuty 會在屬於 的所有EKS叢集上管理安全代理程式 AWS 帳戶。現在, GuardDuty 提供精細的功能,協助您選擇要 GuardDuty 管理安全代理程式的EKS叢集。

當您選擇 時手動管理 GuardDuty 安全代理程式,您仍然可以選取要監控的EKS叢集。不過,若要手動管理代理程式,為您的 建立 Amazon VPC端點 AWS 帳戶 是先決條件。

注意

無論您使用何種方法來管理 GuardDuty 安全代理程式,EKS執行期監控一律會在帳戶層級啟用。

透過 管理安全代理程式 GuardDuty

GuardDuty 代表您部署和管理安全代理程式。您可以隨時使用下列其中一種方法來監控帳戶中的EKS叢集。

監控所有EKS叢集

當您 GuardDuty 想要部署和管理帳戶中所有EKS叢集的安全代理程式時,請使用此方法。根據預設, GuardDuty 也會在您的帳戶中建立的潛在新EKS叢集上部署安全代理程式。

使用此方法的影響

  • GuardDuty 會建立 Amazon Virtual Private Cloud (Amazon VPC) 端點, GuardDuty 安全代理程式會透過此端點將執行期事件交付至其中 GuardDuty。當您透過 管理安全代理程式時,建立 Amazon VPC端點無需額外費用 GuardDuty。

  • 您的工作者節點必須擁有作用中guardduty-dataVPC端點的有效網路路徑。 會在您的EKS叢集上 GuardDuty 部署安全代理程式。Amazon Elastic Kubernetes Service (Amazon EKS) 將協調EKS叢集內節點上安全代理程式的部署。

  • 根據 IP 可用性, GuardDuty 選取要建立VPC端點的子網路。如果使用進階網路拓撲,則須驗證是否可以連線。

排除選擇性EKS叢集

當您 GuardDuty 想要管理帳戶中所有EKS叢集的安全代理程式,但排除選擇性EKS叢集時,請使用此方法。此方法使用標籤型 1 方法,您可以在其中標記您不想接收執行期事件的EKS叢集。預先定義的標籤必須具有 GuardDutyManaged-false 作為鍵值對。

使用此方法的影響

此方法需要您在將標籤新增至要排除監控的EKS叢集之後,才啟用 GuardDuty 客服人員自動管理。

因此,當您 透過 管理安全代理程式 GuardDuty 時,此影響也適用於此方法。當您在啟用 GuardDuty 代理程式自動管理之前新增標籤時, GuardDuty 不會為排除在監控之外的EKS叢集部署或管理安全代理程式。

考量

  • 您必須先將標籤鍵/值對新增為 GuardDutyManagedfalse對於選擇性EKS叢集,再啟用自動代理程式組態,否則 GuardDuty 安全代理程式會部署在所有EKS叢集上,直到您使用標籤為止。

  • 您必須防止標籤遭到修改 (僅允許可信身分進行修改)。

    重要

    使用服務控制政策或IAM政策來管理修改EKS叢集GuardDutyManaged標籤值的許可。如需詳細資訊,請參閱AWS Organizations 《 使用者指南》中的服務控制政策 (SCPs),或》 IAM 使用者指南》中的控制對 AWS 資源的存取

  • 對於您不想監控的潛在新EKS叢集,請務必在建立此EKS叢集時新增 GuardDutyManaged-false key-value 對。

  • 此方法的考量事項與 監控所有EKS叢集 的考量事項相同。

包含選擇性EKS叢集

當您想要僅針對帳戶中的選擇性EKS叢集 GuardDuty 部署和管理安全代理程式的更新時,請使用此方法。此方法使用標籤型 1 方法,您可以在其中標記要接收執行期事件的EKS叢集。

使用此方法的影響

  • 透過使用包含標籤, 只會針對標記為 的選擇性EKS叢集 GuardDuty 自動部署和管理安全代理程式GuardDutyManagedtrue做為鍵/值對。

  • 使用此方法所帶來的影響與 監控所有EKS叢集 的相同。

考量

  • 如果GuardDutyManaged標籤的值未設為 true,則包含標籤將無法如預期運作,這可能會影響監控您的EKS叢集。

  • 為了確保您的選擇性EKS叢集受到監控,您需要防止標籤遭到修改,但受信任的身分除外。

    重要

    使用服務控制政策或IAM政策來管理修改EKS叢集GuardDutyManaged標籤值的許可。如需詳細資訊,請參閱AWS Organizations 《 使用者指南》中的服務控制政策 (SCPs),或》 IAM 使用者指南》中的控制對 AWS 資源的存取

  • 對於您不想監控的潛在新EKS叢集,請務必在建立此EKS叢集時新增 GuardDutyManaged-false key-value 對。

  • 此方法的考量事項與 監控所有EKS叢集 的考量事項相同。

1如需標記選擇性EKS叢集的詳細資訊,請參閱《Amazon 使用者指南》中的標記 Amazon EKS 資源 EKS

手動管理 GuardDuty 安全代理程式

當您想要手動部署和管理所有EKS叢集上的 GuardDuty 安全代理程式時,請使用此方法。確保已為您的帳戶啟用EKS執行期監控。如果您未啟用EKS執行期監控, GuardDuty安全代理程式可能無法如預期運作。

使用此方法的影響

您需要協調所有帳戶以及此功能可用 AWS 區域 位置中EKS叢集內 GuardDuty 安全代理程式的部署。您也需要在 GuardDuty 發行時更新代理程式版本。如需 代理程式版本的詳細資訊EKS,請參閱 GuardDuty Amazon EKS叢集的安全代理程式

考量

在持續部署新的叢集和工作負載時,您必須支援安全的資料流程,同時監控和解決涵蓋範圍差距。