Amazon 的 Security Hub 控制項 EKS - AWS Security Hub
【EKS.1】 EKS叢集端點不應公開存取【EKS.2】 EKS叢集應在支援的 Kubernetes 版本上執行【EKS.3】 EKS叢集應使用加密的 Kubernetes 秘密【EKS.6】 EKS叢集應加上標籤【EKS.7】 身分EKS提供者組態應加上標籤【EKS.8】 EKS叢集應該啟用稽核記錄

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 的 Security Hub 控制項 EKS

這些 Security Hub 控制項會評估 Amazon Elastic Kubernetes Service (Amazon EKS) 服務和資源。

這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性

【EKS.1】 EKS叢集端點不應公開存取

相關要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、、、 NIST.800-53.r5 SC-7(11) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)、4.0.1/1.4.4 PCIDSS版

類別:保護 > 安全網路組態 > 資源不可公開存取

嚴重性:

資源類型: AWS::EKS::Cluster

AWS Config 規則:eks-endpoint-no-public-access

排程類型:定期

參數:

此控制項會檢查 Amazon EKS叢集端點是否可公開存取。如果EKS叢集具有可公開存取的端點,則控制項會失敗。

當您建立新的叢集時,Amazon 會為您用來與叢集通訊的受管 Kubernetes API 伺服器EKS建立端點。根據預設,此API伺服器端點可公開供網際網路使用。使用 AWS Identity and Access Management (IAM) 和原生 Kubernetes 角色型存取控制 () 的組合來保護對API伺服器的存取RBAC。透過移除對端點的公開存取,您可以避免意外暴露和存取叢集。

修補

若要修改現有EKS叢集的端點存取,請參閱《Amazon EKS使用者指南》中的修改叢集端點存取。您可以在建立新EKS叢集時設定端點存取。如需建立新的 Amazon EKS叢集的說明,請參閱《Amazon 使用者指南》中的建立 Amazon EKS叢集 EKS

【EKS.2】 EKS叢集應在支援的 Kubernetes 版本上執行

相關要求: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCIDSSv4.0.1/12.3.4

類別:識別 > 漏洞、修補程式和版本管理

嚴重性:

資源類型: AWS::EKS::Cluster

AWS Config 規則:eks-cluster-supported-version

排程類型:變更已觸發

參數:

  • oldestVersionSupported1.29(不可自訂)

此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。如果EKS叢集在不支援的版本上執行,則控制項會失敗。

如果您的應用程式不需要特定版本的 Kubernetes,我們建議您使用EKS叢集支援的最新可用 Kubernetes 版本。如需詳細資訊,請參閱《Amazon 使用者指南》中的 Amazon EKS Kubernetes 版本行事曆和 Amazon EKS版本支援FAQ EKS

修補

若要更新EKS叢集,請在 Amazon 使用者指南中更新 Amazon EKS叢集 Kubernetes 版本 EKS

【EKS.3】 EKS叢集應使用加密的 Kubernetes 秘密

相關要求: NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-12、 NIST.800-53.r5 SC-13、NIST.800-53.r5 SI-28、PCIDSSv4.0.1/8.3.2

類別:保護 > 資料保護 > 加密 data-at-rest

嚴重性:

資源類型: AWS::EKS::Cluster

AWS Config 規則:eks-cluster-secrets-encrypted

排程類型:定期

參數:

此控制項會檢查 Amazon EKS叢集是否使用加密的 Kubernetes 秘密。如果叢集的 Kubernetes 秘密未加密,則控制項會失敗。

當您加密秘密時,您可以使用 AWS Key Management Service (AWS KMS) 金鑰來提供 Kubernetes 秘密的信封加密,這些秘密存放在叢集的 等化中。此加密是 磁碟EBS區加密的補充,預設會針對存放在 中作為EKS叢集一部分的 等化資料 (包括秘密) 啟用。使用EKS叢集的秘密加密可讓您使用您定義和管理的KMS金鑰來加密 Kubernetes 秘密,進而部署 Kubernetes 應用程式的深度防禦策略。

修補

若要在EKS叢集上啟用秘密加密,請參閱《Amazon EKS使用者指南》中的在現有叢集上啟用秘密加密

【EKS.6】 EKS叢集應加上標籤

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::EKS::Cluster

AWS Config rule:tagged-eks-cluster(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 無預設值

此控制項會檢查 Amazon EKS叢集是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果叢集沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果叢集未標記任何金鑰,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或一組單獨的政策。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的ABAC適用於什麼 AWS?

注意

請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考

修補

若要將標籤新增至EKS叢集,請參閱《Amazon 使用者指南》中的標記您的 Amazon EKS 資源 EKS

【EKS.7】 身分EKS提供者組態應加上標籤

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::EKS::IdentityProviderConfig

AWS Config rule:tagged-eks-identityproviderconfig(自訂 Security Hub 規則)

排程類型:變更觸發

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 StringList 符合AWS 要求的標籤清單 無預設值

此控制項會檢查 Amazon EKS身分提供者組態是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果組態沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果組態未標記任何索引鍵,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。

標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或一組單獨的政策。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的什麼是 ABAC AWS?

注意

請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS 資源AWS 一般參考

修補

若要將標籤新增至EKS身分提供者組態,請參閱《Amazon 使用者指南》中的標記您的 Amazon EKS 資源 EKS

【EKS.8】 EKS叢集應該啟用稽核記錄

相關要求: NIST.800-53.r5 AC-2(12)、 NIST.800-53.r5 AC-2(4)、 NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AC-6(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.2.1

類別:識別 > 記錄日誌

嚴重性:

資源類型: AWS::EKS::Cluster

AWS Config 規則:eks-cluster-log-enabled

排程類型:變更觸發

參數:

  • logTypes: audit (不可自訂)

此控制項會檢查 Amazon EKS叢集是否已啟用稽核記錄。如果未為叢集啟用稽核記錄,則控制項會失敗。

注意

此控制項不會檢查是否透過 的 Amazon Security Lake 啟用 Amazon EKS 稽核記錄 AWS 帳戶。

EKS 控制平面日誌可直接將稽核和診斷日誌從EKS控制平面提供給帳戶中的 Amazon CloudWatch Logs。您可以選取所需的日誌類型,並將日誌做為日誌串流傳送至 中每個EKS叢集的 群組 CloudWatch。記錄可提供EKS叢集存取和效能的可見性。透過將EKS叢集的EKS控制平面日誌傳送至CloudWatch 日誌,您可以在中央位置記錄操作以進行稽核和診斷。

修補

若要啟用EKS叢集的稽核日誌,請參閱《Amazon EKS使用者指南》中的啟用和停用控制平面日誌