目前,亚马逊云科技宣布正式推出 Amazon GuardDuty EKS 运行时监控,该功能用于检测来自 30 多个安全调查发现的运行时威胁,从而保护您的 EKS 集群。新的 EKS 运行时监控使用完全托管的 EKS 附加组件,该附加组件增加对单个容器运行时活动的可见性,例如文件访问、过程执行和网络连接。
GuardDuty 现在可以识别您的 EKS 集群中可能遭到入侵的特定容器,并检测将权限从单个容器升级到底层 Amazon EC2 主机和更广泛 AWS 环境的恶意企图。GuardDuty EKS 运行时监控调查结果提供元数据上下文,以识别潜在威胁并在威胁升级之前将其遏制。
在GuardDuty中
配置EKS运行时监控工作流程
01/
首先,只需在 GuardDuty 控制台中单击几下,即可启用 EKS 运行时监控。
02/
手动管理 GuardDuty 代理
如果您想手动部署和更新账户中每个集群的 EKS 托管附加组件,包括 GuardDuty 代理,请在 EKS 保护配置中取消选中自动管理代理
(1)在 VPC 端点控制台中,选择创建端点
在此步骤中,为服务类别选择其他端点服务
(类型选择“其他端点服务”)
为美国东部(弗吉尼亚州北部)区域中的服务名称输入 com.amazonaws.us-east-1.guardduty-data,然后选择验证服务;成功验证服务名称后,选择 EKS 集群所在的 VPC 和子网。在其他设置下,选择启用 DNS 名称。
在安全组下,从您的 VPC(或 EKS 集群)中选择一个启用入站端口 443 的安全组
添加以下策略以将 VPC 端点的使用限制为仅限指定账户
现在可以为自己的 EKS 集群安装 Amazon GuardDuty EKS 运行时监控附加组件
1. 在 Amazon EKS 控制台上的 EKS 集群配置文件的附加组件选项卡中选择此附加组件(手动管理附加组件时,您需要为要监控的每个 EKS 集群(包括新的 EKS 集群)执行这些步骤)
2. 在 GuardDuty 中启用 EKS 运行时监控并为 EKS 集群部署 Amazon EKS 附加组件之后,您可以查看带有 aws-guardduty-agent 前缀的新容器。GuardDuty 现在开始使用集群中所有 EC2 主机和容器的运行时活动事件。然后,GuardDuty 会分析这些事件以寻找潜在威胁。
3. 如果您在 GuardDuty 账户中启用了 EKS 运行时监控,确保配置 VPC 终端节点,并且在 EKS 集群中的所有 Amazon Elastic Kubernetes Service (Amazon EKS) 节点上运行 GuardDuty 安全代理,则您的 EKS 集群可能表明覆盖状态为Healthy。
4. EKS 保护调查发现类型的资源类型可以是实例、EKSCluster 或容器。如果调查发现详细信息中的资源类型为 EKSCluster,则表示 EKS 集群内的 Pod 或容器可能受到入侵。
要修复受入侵的 Pod 或容器映像,请参阅 AWS 文档中的修复 EKS 运行时监控调查发现-
https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-remediate-eks-runtime-monitoring.html
本文档描述了每种资源类型的建议修复步骤。要了解有关安全调查发现类型的更多信息,请参阅亚马逊云科技文档中的 GuardDuty EKS 运行时监控调查发现类型:
https://docs.aws.amazon.com/guardduty/latest/ug/findings-eks-runtime-monitoring.html