Cómo funciona la supervisión en tiempo de ejecución con los clústeres de Amazon EKS - Amazon GuardDuty
Enfoques para administrar el agente de seguridad de GuardDuty en clústeres de Amazon EKS

Cómo funciona la supervisión en tiempo de ejecución con los clústeres de Amazon EKS

La supervisión en tiempo de ejecución utiliza un complemento de EKS (aws-guardduty-agent), también denominado agente de seguridad de GuardDuty. Después de que el agente de seguridad de GuardDuty se implementa en los clústeres de EKS, GuardDuty puede recibir eventos en tiempo de ejecución correspondientes a estos clústeres de EKS.

Notas

Runtime Monitoring admite los clústeres de Amazon EKS que se ejecutan en instancias de Amazon EC2 y en Amazon EKS Auto Mode.

Runtime Monitoring no admite los clústeres de Amazon EKS con los nodos híbridos de Amazon EKS ni los que se ejecutan en AWS Fargate.

Para obtener más información sobre estas características de Amazon EKS, consulte ¿Qué es Amazon EKS? en la Guía del usuario de Amazon EKS.

Puede supervisar los eventos en tiempo de ejecución de los clústeres de Amazon EKS a nivel de cuenta o de clúster. Puede administrar el agente de seguridad de GuardDuty solo para aquellos clústeres de Amazon EKS que desee supervisar para detectar amenazas. Puede administrar el agente de seguridad de GuardDuty ya sea manualmente o bien permitir que GuardDuty lo administre en su nombre, mediante la configuración automatizada del agente.

Cuando se utiliza el enfoque de configuración automatizada de agentes para permitir que GuardDuty administre la implementación del agente de seguridad en su nombre, se creará automáticamente un punto de conexión de Amazon Virtual Private Cloud (Amazon VPC). El agente de seguridad entrega los eventos en tiempo de ejecución a GuardDuty. Para ello, utiliza este punto de conexión de Amazon VPC.

Junto con el punto de conexión de VPC, GuardDuty también crea un nuevo grupo de seguridad. Las reglas de entrada controlan el tráfico que puede llegar a los recursos asociados al grupo de seguridad. GuardDuty agrega reglas de entrada que coinciden con el rango CIDR de la VPC correspondiente al recurso, a la vez que se adapta cuando el rango de CIDR cambia. Para obtener más información, consulte Rango de CIDR de la VPC en la Guía del usuario de Amazon VPC.

Notas

  • El uso del punto de conexión de VPC no conlleva ningún costo adicional.

  • Utilizar una VPC centralizada con agente automatizado: cuando se utiliza la configuración de agente automatizado de GuardDuty para un tipo de recurso, GuardDuty creará un punto de conexión de VPC en su nombre para todas las VPC. Esto incluye la VPC centralizada y las VPC de radio. GuardDuty no admite la creación de un punto de conexión de VPC únicamente para la VPC centralizada. Para obtener más información sobre cómo funciona la VPC centralizada, consulte Puntos de conexión de VPC de interfaz en el documento técnico de AWS: Creación de una infraestructura de red de AWS de múltiples VPC escalable y segura.

Enfoques para administrar el agente de seguridad de GuardDuty en clústeres de Amazon EKS

Antes del 13 de septiembre de 2023, podía configurar GuardDuty para administrar el agente de seguridad en el nivel de cuenta. Este comportamiento indica que, de forma predeterminada, GuardDuty administrará el agente de seguridad en todos los clústeres de EKS que pertenezcan a una Cuenta de AWS. Ahora, GuardDuty ofrece una capacidad granular que lo ayuda a elegir los clústeres de EKS en los que quiere que GuardDuty administre el agente de seguridad.

Si decide Administración manual del agente de seguridad de GuardDuty, puede seguir seleccionando los clústeres de EKS que desee supervisar. Sin embargo, para administrar el agente de forma manual, es un requisito previo crear un punto de conexión de VPC de Amazon para la Cuenta de AWS.

nota

Independientemente del enfoque que utilice para administrar el agente de seguridad de GuardDuty, la supervisión en tiempo de ejecución de EKS siempre está activada en el nivel de cuenta.

Administración del agente de seguridad a través de GuardDuty

GuardDuty implementa y administra el agente de seguridad en su nombre. En cualquier momento, puede supervisar los clústeres de EKS de su cuenta con uno de los siguientes enfoques.

Supervisar todos los clústeres de EKS

Utilice este enfoque cuando desee que GuardDuty implemente y administre el agente de seguridad para todos los clústeres de EKS en la cuenta. De forma predeterminada, GuardDuty también implementará el agente de seguridad en un clúster de EKS potencialmente nuevo creado en su cuenta.

Impacto de optar por este enfoque

  • GuardDuty crea un punto de conexión de Amazon Virtual Private Cloud (Amazon VPC) a través del cual el agente de seguridad de GuardDuty envía los eventos de tiempo de ejecución a GuardDuty. La creación del punto de conexión de VPC de Amazon al administrar el agente de seguridad a través de GuardDuty no conlleva ningún costo adicional.

  • Es necesario que el nodo de trabajo tenga una ruta de red válida a un punto de conexión de VPC de guardduty-data activo. GuardDuty implementa el agente de seguridad en sus clústeres de EKS. Amazon Elastic Kubernetes Service (Amazon EKS) coordinará la implementación del agente de seguridad en los nodos de los clústeres de EKS.

  • En función de la disponibilidad de las IP, GuardDuty selecciona la subred para crear un punto de conexión de VPC. Si utiliza topologías de red avanzadas, debe validar que la conectividad sea posible.

Excluir determinados clústeres de EKS

Utilice este enfoque cuando desee que GuardDuty administre el agente de seguridad correspondiente a todos los clústeres de EKS en la cuenta, pero excluya determinados clústeres de EKS. Este método utiliza un enfoque basado en etiquetas1 en el que puede etiquetar los clústeres de EKS para los que no desea recibir los eventos de tiempo de ejecución. La etiqueta predefinida debe tener GuardDutyManaged-false como par de clave-valor.

Impacto de optar por este enfoque

Este enfoque requiere que habilite la administración automática del agente de GuardDuty solo después de agregar etiquetas a los clústeres de EKS que desee excluir de la supervisión.

Por lo tanto, el impacto que se produce al Administración del agente de seguridad a través de GuardDuty también se aplica este enfoque. Al agregar etiquetas antes de habilitar la administración automática del agente de GuardDuty, GuardDuty no implementará ni administrará el agente de seguridad para los clústeres de EKS que estén excluidos de la supervisión.

Consideraciones

  • Debe agregar el par clave-valor de la etiqueta como GuardDutyManaged:false para los clústeres de EKS determinados antes de habilitar la configuración automatizada del agente, de lo contrario, el agente de seguridad de GuardDuty se implementará en todos los clústeres de EKS hasta que utilice la etiqueta.

  • Debe impedir que se modifiquen las etiquetas, excepto por parte de identidades de confianza.

    importante

    Administre los permisos para modificar el valor de la etiqueta GuardDutyManaged de su clúster de EKS mediante políticas de control de servicios o políticas de IAM. Para obtener más información, consulte Políticas de control de servicios (SCP) en la Guía del usuario de AWS Organizations o Control de acceso a los recursos de AWS mediante etiquetas en la Guía del usuario de IAM.

  • En el caso de un clúster de EKS potencialmente nuevo que no desee supervisar, asegúrese de agregar el par de clave-valor GuardDutyManaged-false al crear este clúster de EKS.

  • Este enfoque también tendrá las mismas consideraciones que las especificadas para Supervisar todos los clústeres de EKS.

Incluir determinados clústeres de EKS

Utilice este enfoque cuando desee que GuardDuty implemente y administre las actualizaciones del agente de seguridad únicamente para determinados clústeres de EKS en la cuenta. Este método utiliza un enfoque basado en etiquetas1 en el que puede etiquetar el clúster de EKS para el que desea recibir los eventos de tiempo de ejecución.

Impacto de optar por este enfoque

  • Por medio del uso de etiquetas de inclusión, GuardDuty implementará y administrará automáticamente el agente de seguridad solamente para los clústeres de EKS determinados que hayan sido etiquetados con GuardDutyManaged-true como par de clave y valor.

  • El uso de este enfoque también tendrá el mismo impacto que el especificado para Supervisar todos los clústeres de EKS.

Consideraciones

  • Si el valor de la etiqueta GuardDutyManaged no está establecido en true, la etiqueta de inclusión no funcionará como se esperaba y esto podría afectar a la supervisión del clúster de EKS.

  • Para asegurarse de que se estén supervisando determinados clústeres de EKS, debe evitar que las etiquetas se modifiquen, salvo por parte de identidades de confianza.

    importante

    Administre los permisos para modificar el valor de la etiqueta GuardDutyManaged de su clúster de EKS mediante políticas de control de servicios o políticas de IAM. Para obtener más información, consulte Políticas de control de servicios (SCP) en la Guía del usuario de AWS Organizations o Control de acceso a los recursos de AWS mediante etiquetas en la Guía del usuario de IAM.

  • En el caso de un clúster de EKS potencialmente nuevo que no desee supervisar, asegúrese de agregar el par de clave-valor GuardDutyManaged-false al crear este clúster de EKS.

  • Este enfoque también tendrá las mismas consideraciones que las especificadas para Supervisar todos los clústeres de EKS.

1 Para obtener más información sobre el etiquetado de determinados clústeres de EKS, consulte Etiquetado de los recursos de Amazon EKS en la Guía del usuario de Amazon EKS.

Administración manual del agente de seguridad de GuardDuty

Utilice este enfoque cuando desee implementar y administrar manualmente el agente de seguridad de GuardDuty en todos los clústeres de EKS. Asegúrese de que la supervisión en tiempo de ejecución de EKS esté habilitada en sus cuentas. Es posible que el agente de seguridad de GuardDuty no funcione según lo esperado si no habilita la supervisión en tiempo de ejecución de EKS.

Impacto de optar por este enfoque

Deberá coordinar la implementación del agente de seguridad de GuardDuty en los clústeres de EKS en las cuentas y Regiones de AWS en las que esta característica se encuentre disponible. Además, deberá actualizar la versión del agente cuando GuardDuty la publique. Para obtener más información sobre las versiones de los agentes para EKS, consulte Versiones del agente de seguridad GuardDuty para los recursos de Amazon EKS.

Consideraciones

Debe admitir un flujo de datos seguro a la vez que supervisa y soluciona las deficiencias de cobertura a medida que se implementan continuamente nuevos clústeres y cargas de trabajo.