A company needs to detect unauthenticated access to its Amazon Elastic Kubernetes Service (Amazon EKS) clusters. The company needs a solution that requires no additional configuration of the existing EKS deployment.
Which solution will meet these requirements with the LEAST operational effort?
A. Install an Amazon EKS add-on from a security vendor.
B. Enable AWS Security Hub. Monitor the Kubernetes findings.
C. Monitor Amazon CloudWatch Container Insights metrics for Amazon EKS.
D. Enable Amazon GuardDuty. Use EKS Audit Log Monitoring.
D
一家公司需要檢測其 Amazon EKS 集群中的未授權(quán)訪問,且要求解決方案無需對現(xiàn)有 EKS 部署進行額外配置,同時操作復(fù)雜度最低。
核心需求:
檢測 EKS 集群中的未授權(quán)訪問(如無效憑據(jù)、權(quán)限濫用、非法 API 調(diào)用等)。
無需修改現(xiàn)有 EKS 部署(如不安裝 Agent、不修改 Kubernetes 配置、不啟用額外日志等)。
運維復(fù)雜度最低(優(yōu)先選擇 AWS 原生服務(wù),避免第三方工具或復(fù)雜集成)。
基于審計日志:通過分析 Kubernetes API Server 的審計日志(如 Unauthorized、Forbidden 事件)識別異常訪問。
基于威脅檢測服務(wù):利用 AWS 原生安全服務(wù)(如 GuardDuty、Security Hub)自動分析 API 調(diào)用模式。
基于運行時監(jiān)控:在集群內(nèi)部署 Agent 監(jiān)控進程、網(wǎng)絡(luò)或文件系統(tǒng)(但違反“無額外配置”要求)。
CloudWatch :僅監(jiān)控基礎(chǔ)設(shè)施指標(CPU/ 內(nèi)存),無安全檢測功能。
第三方插件:依賴廠商規(guī)則,需安裝和維護。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確。安裝第三方安全廠商提供的 Amazon EKS 插件。該方案需在 EKS 集群中部署插件(如 DaemonSet 或 Operator),涉及權(quán)限配置、鏡像拉取等操作,需要增加運營工作量來管理和維護插件。
B. 不正確。啟用 AWS Security Hub 并監(jiān)控 Kubernetes 發(fā)現(xiàn)結(jié)果。AWS Security Hub 是一個綜合的安全狀態(tài)管理服務(wù),通過關(guān)聯(lián)來自多個 AWS 服務(wù)的安全信號來檢測安全問題,例 Amazon Inspector 的實例脆弱性檢測服務(wù)、Amazon Macie 的敏感數(shù)據(jù)檢測服務(wù),Amazon GuardDuty 的威脅檢測服務(wù)。
C. 不正確。監(jiān)控 Amazon CloudWatch Container Insights 的 EKS 指標。該方案僅收集和監(jiān)控容器化應(yīng)用程序的基礎(chǔ)設(shè)施層性能指標,無法檢測認證類攻擊(如無效憑據(jù));需額外配置日志或自定義指標才能覆蓋安全事件。
D. 正確。啟用 Amazon GuardDuty,使用 EKS 審計日志監(jiān)控。Amazon GuardDuty 是一項威脅檢測服務(wù),它可以持續(xù)監(jiān)控 AWS 環(huán)境中的惡意活動和未經(jīng)授權(quán)的行為。GuardDuty 使用威脅情報源(例如惡意 IP 地址和域名列表、文件哈希和機器學(xué)習(xí) (ML) 模型)來識別 AWS 環(huán)境中的可疑活動和潛在的惡意活動。啟用 GuardDuty 相對簡單,不需要對現(xiàn)有 EKS 部署進行額外配置,整體運營工作量最少。