Runtime Monitoring 如何與 Amazon EKS叢集搭配使用 - Amazon GuardDuty
在 Amazon EKS叢集中管理 GuardDuty安全代理程式的方法

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Runtime Monitoring 如何與 Amazon EKS叢集搭配使用

執行期監控使用EKS附加元件 aws-guardduty-agent,也稱為 GuardDuty 安全代理程式。在EKS叢集上部署安全代理程式之後 GuardDuty, GuardDuty 就能夠接收這些EKS叢集的執行期事件。

GuardDuty 僅支援在 Amazon EC2執行個體上執行的 Amazon EKS叢集。 GuardDuty 不支援在 上執行的 Amazon EKS叢集 AWS Fargate。

您可以在帳戶或EKS叢集層級監控 Amazon 叢集的執行期事件。您只能管理要監控威脅偵測的 Amazon EKS叢集 GuardDuty 的安全代理程式。您可以使用自動代理程式組態,手動管理 GuardDuty 安全代理程式,或允許 代表您 GuardDuty 管理安全代理程式。

當您使用自動代理程式組態方法 GuardDuty 允許 代表您管理安全代理程式的部署時,它會自動建立 Amazon Virtual Private Cloud (Amazon VPC) 端點 。安全代理程式 GuardDuty 使用此 Amazon VPC端點將執行期事件傳遞至 。

除了VPC端點之外, GuardDuty 也會建立新的安全群組。傳入 (傳入) 規則控制允許到達與安全群組相關聯的資源的流量。 GuardDuty 新增符合資源VPCCIDR範圍的傳入規則,並在CIDR範圍變更時加以調整。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的VPCCIDR範圍

備註

  • 端點的使用無需額外費用VPC。

  • 使用 VPC 與自動化代理程式集中 - 當您使用資源類型的 GuardDuty 自動化代理程式組態時, GuardDuty 會代表您為所有 建立VPC端點VPCs。這包括集中式VPC和輪輻 VPCs。 GuardDuty 不支援僅針對集中式 建立VPC端點VPC。如需集中VPC式 運作方式的詳細資訊,請參閱白皮書中的介面VPC端點 - 建置可擴展且安全的多網路基礎設施。 AWS VPC AWS

在 Amazon EKS叢集中管理 GuardDuty安全代理程式的方法

在 2023 年 9 月 13 日之前,您可以設定 GuardDuty 來管理帳戶層級的安全代理程式。此行為表示,依預設, GuardDuty 會在屬於 的所有EKS叢集上管理安全代理程式 AWS 帳戶。現在, GuardDuty 提供精細的功能,協助您選擇要 GuardDuty 管理安全代理程式的EKS叢集。

當您選擇 時手動管理 GuardDuty 安全代理程式,您仍然可以選取要監控的EKS叢集。不過,若要手動管理代理程式,為您的 建立 Amazon VPC端點 AWS 帳戶 是先決條件。

注意

無論您使用何種方法來管理 GuardDuty 安全代理程式,EKS執行期監控一律會在帳戶層級啟用。

透過 管理安全代理程式 GuardDuty

GuardDuty 代表您部署和管理安全代理程式。您可以隨時使用下列其中一種方法監控帳戶中的EKS叢集。

監控所有EKS叢集

當您 GuardDuty 想要部署和管理帳戶中所有EKS叢集的安全代理程式時,請使用此方法。根據預設, GuardDuty 也會在帳戶中建立的潛在新EKS叢集上部署安全代理程式。

使用此方法的影響

  • GuardDuty 會建立 Amazon Virtual Private Cloud (Amazon VPC) 端點,讓 GuardDuty 安全代理程式透過該端點將執行期事件傳遞給 GuardDuty。當您透過 管理安全代理程式時,建立 Amazon VPC端點無需額外費用 GuardDuty。

  • 您的工作者節點必須具有有效網路路徑,才能到達作用中guardduty-dataVPC端點。 會在EKS叢集上 GuardDuty 部署安全代理程式。Amazon Elastic Kubernetes Service (Amazon EKS) 將協調EKS叢集內節點上安全代理程式的部署。

  • 根據 IP 可用性, GuardDuty 選取要建立VPC端點的子網路。如果使用進階網路拓撲,則須驗證是否可以連線。

排除選擇性EKS叢集

當您 GuardDuty 想要管理帳戶中所有EKS叢集的安全代理程式,但排除選擇性EKS叢集時,請使用此方法。此方法使用標籤型1 方法,您可以在其中標記您不想接收執行期事件的EKS叢集。預先定義的標籤必須具有 GuardDutyManaged-false 作為鍵值對。

使用此方法的影響

此方法需要您在將標籤新增至要排除監控的EKS叢集之後,才啟用 GuardDuty 客服人員自動管理。

因此,當您 透過 管理安全代理程式 GuardDuty 時,此影響也適用於此方法。當您在啟用 GuardDuty 代理程式自動管理之前新增標籤時, GuardDuty 不會為排除在監控之外的EKS叢集部署或管理安全代理程式。

考量

  • 您必須先將標籤鍵值對新增為 GuardDutyManagedfalse針對選擇性EKS叢集,然後再啟用自動代理程式組態,否則 GuardDuty 安全代理程式會部署在所有EKS叢集上,直到您使用標籤為止。

  • 您必須防止標籤遭到修改 (僅允許可信身分進行修改)。

    重要

    使用服務控制政策或IAM政策,管理修改EKS叢集GuardDutyManaged標籤值的許可。如需詳細資訊,請參閱 AWS Organizations 使用者指南 中的服務控制政策 (SCPs),或 IAM使用者指南 中的控制對 AWS 資源的存取

  • 對於您不想監控的潛在新EKS叢集,請務必在建立此EKS叢集時新增 GuardDutyManagedfalse值對。

  • 此方法的考量事項與 監控所有EKS叢集 的考量事項相同。

包含選擇性EKS叢集

當您只 GuardDuty 想為帳戶中的選擇性EKS叢集部署和管理安全代理程式的更新時,請使用此方法。此方法使用標籤型1 方法,您可以在其中標記要接收執行期事件的EKS叢集。

使用此方法的影響

  • 透過使用包含標籤, GuardDuty 將僅為標記為 的選擇性EKS叢集自動部署和管理安全代理程式GuardDutyManagedtrue作為鍵值對。

  • 使用此方法所帶來的影響與 監控所有EKS叢集 的相同。

考量

  • 如果GuardDutyManaged標籤的值未設定為 true,則包含標籤將無法如預期運作,這可能會影響監控EKS叢集。

  • 若要確保選擇性EKS叢集受到監控,您需要防止標籤遭到修改,但受信任身分除外。

    重要

    使用服務控制政策或IAM政策,管理修改EKS叢集GuardDutyManaged標籤值的許可。如需詳細資訊,請參閱 AWS Organizations 使用者指南 中的服務控制政策 (SCPs),或 IAM使用者指南 中的控制對 AWS 資源的存取

  • 對於您不想監控的潛在新EKS叢集,請務必在建立此EKS叢集時新增 GuardDutyManagedfalse值對。

  • 此方法的考量事項與 監控所有EKS叢集 的考量事項相同。

1如需標記選擇性EKS叢集的詳細資訊,請參閱 Amazon 使用者指南 中的標記 Amazon EKS 資源 EKS

手動管理 GuardDuty 安全代理程式

如果您想要手動部署和管理所有EKS叢集上的 GuardDuty 安全代理程式,請使用此方法。確保已為您的帳戶啟用EKS執行期監控。如果您未啟用EKS執行期監控, GuardDuty安全代理程式可能無法如預期運作。

使用此方法的影響

您需要協調EKS叢集內所有帳戶以及此功能可用 AWS 區域 位置 GuardDuty 的安全代理程式部署。您也需要在代理程式版本 GuardDuty 發行時更新它。如需 代理程式版本的詳細資訊EKS,請參閱 GuardDuty Amazon EKS叢集的安全代理程式

考量

隨著新的叢集和工作負載持續部署,您必須支援安全的資料流程,同時監控和解決涵蓋範圍差距。