本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon EKS 的 Security Hub CSPM 控制項
這些 Security Hub CSPM 控制項會評估 Amazon Elastic Kubernetes Service (Amazon EKS) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【EKS.1】 不應公開存取 EKS 叢集端點
**相關需求:**NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(20)、NIST.800-53.r5 SC-7 5
**類別:**保護 > 安全網路組態 > 不可公開存取的資源
**嚴重性:**高
**資源類型:** `AWS::EKS::Cluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html)
**排程類型:**定期
**參數:**無
此控制項會檢查 Amazon EKS 叢集端點是否可公開存取。如果 EKS 叢集具有可公開存取的端點,則控制項會失敗。
當您建立新的叢集時,Amazon EKS 會為您用來與叢集通訊的受管 Kubernetes API 伺服器建立端點。根據預設,此 API 伺服器端點可公開供網際網路使用。使用 AWS Identity and Access Management (IAM) 和原生 Kubernetes 角色型存取控制 (RBAC) 的組合來保護 API 伺服器的存取。透過移除對端點的公開存取,您可以避免意外暴露和存取叢集。
### 修補
若要修改現有 EKS 叢集的端點存取,請參閱《**Amazon EKS 使用者指南**》中的[修改叢集端點存取](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access)。您可以在建立新 EKS 叢集時設定端點存取。如需建立新的 Amazon EKS 叢集的說明,請參閱《[Amazon EKS 使用者指南》中的建立 Amazon EKS 叢集](https://docs.aws.amazon.com/eks/latest/userguide/create-cluster.html)。 ****
## 【EKS.2】 EKS 叢集應在支援的 Kubernetes 版本上執行
**相關要求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCI DSS v4.0.1/12.3.4
**類別:**識別 > 漏洞、修補程式和版本管理
**嚴重性:**高
**資源類型:** `AWS::EKS::Cluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-supported-version.html)
**排程類型:**已觸發變更
**參數:**
+ `oldestVersionSupported`:`1.33`(不可自訂)
此控制項會檢查 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集是否在支援的 Kubernetes 版本上執行。如果 EKS 叢集在不支援的版本上執行,則控制項會失敗。
如果您的應用程式不需要特定版本的 Kubernetes,建議您為叢集使用 EKS 支援的最新可用 Kubernetes 版本。如需詳細資訊,請參閱《[Amazon EKS 使用者指南》中的 Amazon EKS Kubernetes 版本行事曆](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#kubernetes-release-calendar)*和***[了解 Amazon EKS 上的 Kubernetes 版本生命週期](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation)。
### 修補
若要更新 EKS 叢集,請參閱《**Amazon EKS 使用者指南*》中的*[將現有叢集更新為新的 Kubernetes 版本](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html)。
## 【EKS.3】 EKS 叢集應使用加密的 Kubernetes 秘密
**相關要求:**NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-12、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、PCI DSS v4.0.1/8.3.2
**類別:**保護 > 資料保護 > data-at-rest加密
**嚴重性:**中
**資源類型:** `AWS::EKS::Cluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-secrets-encrypted.html)
**排程類型:**定期
**參數:**無
此控制項會檢查 Amazon EKS 叢集是否使用加密的 Kubernetes 秘密。如果叢集的 Kubernetes 秘密未加密,則控制項會失敗。
當您加密秘密時,您可以使用 AWS Key Management Service (AWS KMS) 金鑰,為您的叢集提供存放在 等 中的 Kubernetes 秘密的信封加密。此加密是 EBS 磁碟區加密的補充,預設會針對存放在 中作為 EKS 叢集的一部分進行加密的所有資料 (包括秘密) 啟用。對 EKS 叢集使用秘密加密可讓您使用您定義和管理的 KMS 金鑰加密 Kubernetes 秘密,為 Kubernetes 應用程式部署深度防禦策略。
### 修補
若要在 EKS 叢集上啟用秘密加密,請參閱《**Amazon EKS 使用者指南**》中的在[現有叢集上啟用秘密加密](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html)。
## 【EKS.6】 EKS 叢集應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::EKS::Cluster`
**AWS Config rule:**`tagged-eks-cluster`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 |
此控制項會檢查 Amazon EKS 叢集是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果叢集沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果叢集未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 EKS 叢集,請參閱《[Amazon EKS 使用者指南》中的標記 Amazon EKS 資源](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)。 ****
## 【EKS.7】 EKS 身分提供者組態應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::EKS::IdentityProviderConfig`
**AWS Config rule:**`tagged-eks-identityproviderconfig`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 |
此控制項會檢查 Amazon EKS 身分提供者組態是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果組態沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果組態未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 EKS 身分提供者組態,請參閱《[Amazon EKS 使用者指南》中的標記 Amazon EKS 資源](https://docs.aws.amazon.com/eks/latest/userguide/eks-using-tags.html)。 ****
## 【EKS.8】 EKS 叢集應該啟用稽核記錄
**相關需求:**NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.8000-5.r5)、AU-6NIST.5 AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-710.2.1
**類別:**識別 > 記錄日誌
**嚴重性:**中
**資源類型:** `AWS::EKS::Cluster`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/eks-cluster-log-enabled.html)
**排程類型:**變更已觸發
**參數:**
+ `logTypes: audit` (不可自訂)
此控制項會檢查 Amazon EKS 叢集是否已啟用稽核記錄。如果未為叢集啟用稽核記錄,則控制項會失敗。
**注意**
此控制項不會檢查是否已透過 的 Amazon Security Lake 啟用 Amazon EKS 稽核記錄 AWS 帳戶。
EKS 控制平面記錄會將稽核和診斷日誌直接從 EKS 控制平面提供給帳戶中的 Amazon CloudWatch Logs。您可以選取所需的日誌類型,並將日誌做為日誌串流傳送至 CloudWatch 中每個 EKS 叢集的群組。記錄可提供 EKS 叢集存取和效能的可見性。透過將 EKS 叢集的 EKS 控制平面日誌傳送至 CloudWatch Logs,您可以在中央位置記錄操作以進行稽核和診斷。
### 修補
若要啟用 EKS 叢集的稽核日誌,請參閱《**Amazon EKS 使用者指南**》中的[啟用和停用控制平面日誌](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export)。