プロファイル適用性: レベル1 - クラスター / コントロールプレーン
コントロールプレーンログは、EKSコントロールプレーンコンポーネントシステムの操作に関する可視性を提供します。APIサーバのAudit Logsは、クラスター内のすべての受け入れられたリクエストと拒否されたリクエストを記録します。EKS構成を通じて有効化されると、クラスターのコントロールプレーンログはCloudWatchロググループにエクスポートされ、永続化されます。
Audit Logsは、認証済みおよび匿名のソースからのすべてのAPIサーバリクエストに対する可視性を提供します。保存されたログデータは、手動またはツールを使用して分析することで、異常または悪意のある活動を特定し理解し、インテリジェントな修正につながります。
 |
注意コントロールプレーンのログ記録は、初期設定では無効になっています。
API server: Disabled Audit: Disabled Authenticator: Disabled Controller manager: Disabled Scheduler: Disabled |
影響
Amazon EKSクラスターのAPIサーバAudit Logsを含むコントロールプレーンログを有効にすることで、すべてのAPIリクエストに対する詳細な可視性を提供し、攻撃領域を減少させることにより、セキュリティ状態を大幅に強化します。
これらのログをCloudWatchロググループにエクスポートすることで、永続的なストレージを確保し、手動および自動分析を容易にして異常な活動を迅速に特定し、修正することができます。
この構成はログのオーバーヘッドにより、使いやすさやパフォーマンスに若干影響を与える可能性がありますが、強化されたセキュリティとコンプライアンスの利点はこれらの欠点をはるかに上回り、我々のセキュリティ戦略において重要なコンポーネントとなります。
監査
コンソールから:
- 各リージョンの各EKSクラスターに対して。
- に移動します。
- これはコントロールプレーンのログ設定を表示します。
API server: Enabled / Disabled Audit: Enabled / Disabled Authenticator: Enabled / Disabled Controller manager: Enabled / Disabled Scheduler: Enabled / Disabled
- すべてのオプションが有効に設定されていることを確認してください。
CLIから:
# For each EKS Cluster in each region;
export CLUSTER_NAME=<your cluster name>
export REGION_CODE=<your region_code>
aws eks describe-cluster --name ${CLUSTER_NAME} --region ${REGION_CODE} --query 'cluster.logging.clusterLogging'
修復
コンソールから:
- 各リージョンの各EKSクラスターに対して。
- に移動します。
- [Manage logging]をクリックしてください。
- すべてのオプションが有効に切り替えられていることを確認してください。
# For each EKS Cluster in each region; aws eks update-cluster-config \ --region '${REGION_CODE}' \ --name '${CLUSTER_NAME}' \ --logging '{"clusterLogging":[{"types":["api","audit","authenticator","controllerManage r","scheduler"],"enabled":true}]}' - [変更を保存]をクリックしてください。
CLIから:
# For each EKS Cluster in each region; aws eks update-cluster-config \
--region '${REGION_CODE}' \
--name '${CLUSTER_NAME}' \
--logging
'{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}'