2.1.1 - Aktivieren Sie Audit-Logs (Automatisiert)

Ansichten:

Profilanwendbarkeit: Stufe 1 - Cluster / Steuerungsebene

Protokolle der Steuerungsebene bieten Einblick in den Betrieb der EKS-Steuerungskomponenten. Die Audit-Protokolle des API-Servers zeichnen alle akzeptierten und abgelehnten Anfragen im Cluster auf. Wenn sie über die EKS-Konfiguration aktiviert sind, werden die Protokolle der Steuerungsebene für einen Cluster zur Speicherung in eine CloudWatch-Protokollgruppe exportiert.

Audit-Protokolle ermöglichen die Sichtbarkeit aller API-Server-Anfragen von authentischen und anonymen Quellen. Gespeicherte Protokolldaten können manuell oder mit Tools analysiert werden, um anomale oder negative Aktivitäten zu identifizieren und zu verstehen und zu intelligenten Maßnahmen zu führen.

Hinweis

Standardmäßig ist das Protokollieren der Steuerungsebene deaktiviert.

API server: Disabled
Audit: Disabled
Authenticator: Disabled
Controller manager: Disabled
Scheduler: Disabled

Auswirkung

Das Aktivieren von Steuerungsebenenprotokollen, einschließlich API-Server-Auditprotokollen für Amazon EKS-Cluster, stärkt unsere Sicherheitslage erheblich, indem es detaillierte Einblicke in alle API-Anfragen bietet und somit unsere Angriffsfläche reduziert.

Durch das Exportieren dieser Protokolle in eine CloudWatch-Loggruppe gewährleisten wir eine dauerhafte Speicherung und erleichtern sowohl die manuelle als auch die automatisierte Analyse, um anomale Aktivitäten schnell zu identifizieren und zu beheben.

Obwohl diese Konfiguration die Benutzerfreundlichkeit oder Leistung aufgrund des Protokollierungsaufwands geringfügig beeinträchtigen könnte, überwiegen die verbesserten Sicherheits- und Compliance-Vorteile diese Nachteile bei weitem, wodurch sie zu einem wesentlichen Bestandteil unserer Sicherheitsstrategie wird.

Prüfung

Von Konsole:

Für jeden EKS-Cluster in jeder Region.
Gehe zu Amazon EKS → Clusters → CLUSTER_NAME → Konfiguration → Wird protokolliert.

Dies zeigt die Protokollierungskonfiguration der Steuerungsebene an:

API server: Enabled / Disabled 
Audit: Enabled / Disabled 
Authenticator: Enabled / Disabled 
Controller manager: Enabled / Disabled 
Scheduler: Enabled / Disabled

Stellen Sie sicher, dass alle Optionen auf Aktiviert gesetzt sind.

Von CLI:

# For each EKS Cluster in each region; 
export CLUSTER_NAME=<your cluster name>
export REGION_CODE=<your region_code>
aws eks describe-cluster --name ${CLUSTER_NAME} --region ${REGION_CODE} --query 'cluster.logging.clusterLogging'

Wiederherstellung

Von Konsole:

Für jeden EKS-Cluster in jeder Region.
Navigieren Sie zu Amazon EKS → Clusters → Konfiguration → Wird protokolliert.
Klicken Sie auf Manage logging.

Stellen Sie sicher, dass alle Optionen auf Aktiviert umgeschaltet sind.

# For each EKS Cluster in each region;
aws eks update-cluster-config \
    --region '${REGION_CODE}' \
    --name '${CLUSTER_NAME}' \
    --logging
'{"clusterLogging":[{"types":["api","audit","authenticator","controllerManage
r","scheduler"],"enabled":true}]}'

Klicken Sie auf Änderungen speichern.

Von CLI:

# For each EKS Cluster in each region; aws eks update-cluster-config \
--region '${REGION_CODE}' \
--name '${CLUSTER_NAME}' \
--logging
'{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}'