設定檔適用性:等級 1 - 叢集 / 控制平面
控制平面日誌提供對 EKS 控制平面組件系統運作的可見性。API 伺服器審計日誌記錄叢集中所有被接受和拒絕的請求。當通過 EKS 配置已啟動時,叢集的控制平面日誌會匯出到
CloudWatch 日誌群組以進行持久化。
稽核日誌使所有來自認證和匿名來源的 API 伺服器請求可見。儲存的日誌資料可以手動分析或使用工具分析,以識別和理解異常或負面活動,並促使智能修正。
 |
注意控制平面日誌預設為停用。
API server: Disabled Audit: Disabled Authenticator: Disabled Controller manager: Disabled Scheduler: Disabled |
影響
啟用控制平面日誌,包括 Amazon EKS 叢集的 API 伺服器稽核日誌,能夠顯著增強我們的安全狀況,因為它提供了對所有 API 請求的詳細可見性,從而減少我們的攻擊面。
透過將這些日誌匯出至 CloudWatch 日誌群組,我們確保持久的存儲,並促進手動和自動分析,以快速識別和修正異常活動。
儘管此配置可能因記錄開銷而稍微影響可用性或性能,但增強的安全性和合規性優勢遠遠超過這些缺點,使其成為我們安全策略的重要組成部分。
稽核
從主控台:
- 對於每個區域中的每個 EKS 叢集。
- 前往。
- 這將顯示控制平面日誌配置:
API server: Enabled / Disabled Audit: Enabled / Disabled Authenticator: Enabled / Disabled Controller manager: Enabled / Disabled Scheduler: Enabled / Disabled
- 確保所有選項均已設為已啟動。
從 CLI:
# For each EKS Cluster in each region;
export CLUSTER_NAME=<your cluster name>
export REGION_CODE=<your region_code>
aws eks describe-cluster --name ${CLUSTER_NAME} --region ${REGION_CODE} --query 'cluster.logging.clusterLogging'
補救
從主控台:
- 對於每個區域中的每個 EKS 叢集。
- 移至。
- 點擊「Manage logging」。
- 確保所有選項均已啟動。
# For each EKS Cluster in each region; aws eks update-cluster-config \ --region '${REGION_CODE}' \ --name '${CLUSTER_NAME}' \ --logging '{"clusterLogging":[{"types":["api","audit","authenticator","controllerManage r","scheduler"],"enabled":true}]}' - 點擊「儲存變更」。
從 CLI:
# For each EKS Cluster in each region; aws eks update-cluster-config \
--region '${REGION_CODE}' \
--name '${CLUSTER_NAME}' \
--logging
'{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}'