Понимание SOC 2 в Amazon EKS
Продолжаем рассмотрение других контролей для EKS SOC Type 2.
CC3: Оценка рисков
Оценка рисков, специфичных для EKS
Выявлять, оценивать и документировать риски безопасности, операционные и связанные с соответствием требованиям риски, специфичные для кластеров и рабочих нагрузок Amazon EKS, чтобы обеспечить внедрение, мониторинг и улучшение соответствующих контролей в соответствии с критериями доверительных служб SOC 2.
Ответственные стороны:
Основные: Команда безопасности
Поддерживающие: Владельцы кластеров EKS, Владельцы приложений, Команда DevOps/SRE
- Проводить регулярные оценки безопасности используя kube-bench v0.11.1
kubectl apply -f https://raw.githubusercontent.com/aquasecurity/kube-bench/main/job-eks.yaml kubectl logs job/kube-bench-eks - Внедрить сканирование уязвимостей с помощью Amazon ECR scanning
- Развернуть оператор Trivy для комплексной оценки уязвимостей
helm repo add aqua https://aquasecurity.github.io/helm-charts/ helm install trivy-operator aqua/trivy-operator -n trivy-system --create-namespace - Настроить AWS Config для непрерывного мониторинга соответствия
Безопасность образов контейнеров
Обеспечить, чтобы все образы контейнеров, развернутые в кластерах Amazon EKS, были получены, созданы, просканированы и поддерживались в соответствии с организационными политиками безопасности для снижения риска уязвимостей, атак на цепочку поставок и нарушений соответствия, в соответствии с критериями доверительных служб SOC 2.
Ответственные стороны:
Основные: Команда безопасности
Поддерживающие: Команды разработки, Команды DevOps/SRE, Владельцы кластеров EKS
- Включить сканирование уязвимостей ECR для всех репозиториев
- Внедрить подписание образов с помощью AWS Signer или Notary v2
- Настроить контроллеры доступа для блокировки уязвимых образов
- Установить стандарты усиления базовых образов
CC4: Мониторинг активности
Комплексная реализация мониторинга
Внедрить комплексную систему мониторинга для кластеров Amazon EKS, рабочих нагрузок Kubernetes и контейнеризованных приложений для обеспечения безопасности, доступности и соответствия требованиям в соответствии с критериями доверительных служб SOC 2.
Ответственные стороны:
Основные: Команда безопасности
Поддерживающие: Владельцы кластеров EKS, Команды DevOps/SRE, Владельцы приложений
- Включить все логи плоскости управления EKS в CloudWatch
aws eks update-cluster-config --name $CLUSTER_NAME \ --logging '{"enable":[{"types":["api","audit","authenticator","controllerManager","scheduler"]}]}' - Развернуть AWS CloudTrail для комплексного мониторинга API
- Настроить VPC Flow Logs для анализа сетевого трафика
- Внедрить Container Insights для мониторинга кластера
- Развернуть Falco для мониторинга безопасности времени выполнения
helm repo add falcosecurity https://falcosecurity.github.io/charts helm install falco falcosecurity/falco --set falco.grpc.enabled=true
Корреляция событий безопасности
Обеспечить корреляцию событий безопасности в кластерах Amazon EKS, рабочих нагрузках Kubernetes, средах выполнения контейнеров и поддерживающей инфраструктуре AWS для обнаружения сложных шаблонов атак, снижения ложных срабатываний и улучшения обнаружения инцидентов в соответствии с критериями доверительных служб SOC 2.
Ответственные стороны:
Основные: Команда безопасности
Поддерживающие: Владельцы кластеров EKS, Команды DevOps/SRE, Инженеры по безопасности приложений
- Настроить Amazon GuardDuty для обнаружения угроз EKS
- Внедрить AWS Security Hub для централизованного сбора результатов безопасности
- Развернуть пользовательские метрики CloudWatch для событий безопасности
- Создать панели безопасности в CloudWatch, Grafana, Wazuh
CC5: Контрольные мероприятия
Управление доступом и аутентификация
Обеспечить ограничение доступа к кластерам Amazon EKS, рабочим нагрузкам Kubernetes и связанным ресурсам AWS только для авторизованных лиц, обеспечивая это через сильные механизмы аутентификации и регулярные проверки в соответствии с критериями доверительных служб SOC 2 по безопасности и конфиденциальности.
Ответственные стороны:
Основные: Команда безопасности
Поддерживающие: Владельцы кластеров EKS, Команды DevOps/SRE, Владельцы приложений, HR (для найма/увольнения)
- Включить EKS Pod Identity
aws eks create-cluster --name $CLUSTER_NAME \ --authentication-mode API_AND_CONFIG_MAP \ --access-config authenticationMode=API_AND_CONFIG_MAP - Настроить IAM Roles for Service Accounts (IRSA) для существующих кластеров (для старых или миграции на EKS Pod Identity)
eksctl utils associate-iam-oidc-provider --cluster $CLUSTER_NAME --approve eksctl create iamserviceaccount --cluster $CLUSTER_NAME --namespace $NAMESPACE \ --name $SERVICE_ACCOUNT --attach-policy-arn $POLICY_ARN --approve - Внедрить политики RBAC наименьших привилегий
- Настроить доступ к конечной точке API server (приватный или ограниченный публичный)
- Включить многофакторную аутентификацию для пользователей-людей
Усиление безопасности Kubernetes
Обеспечить настройку и поддержание всех кластеров Amazon EKS в соответствии с лучшими практиками усиления безопасности Kubernetes для минимизации рисков безопасности, поддержания соответствия и выполнения критериев доверительных служб SOC 2 по безопасности и доступности.
Ответственные стороны:
Основные: Команда безопасности
Поддерживающие: Владельцы кластеров EKS, Команды DevOps/SRE
- Развернуть Pod Security Standards, заменяющие устаревшие PSP
apiVersion: v1 kind: Namespace metadata: name: secure-namespace labels: pod-security.kubernetes.io/enforce: restricted pod-security.kubernetes.io/audit: restricted pod-security.kubernetes.io/warn: restricted - Внедрить OPA Gatekeeper для обеспечения соблюдения политик
kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/refs/tags/v3.20.0/deploy/gatekeeper.yaml - Настроить контексты безопасности для всех подов (не-root, только для чтения файловая система)
- Внедрить квоты ресурсов и лимиты
CC6: Логические и физические контроли доступа
Конфигурация сетевой безопасности
Обеспечить безопасную настройку и поддержание сети кластера Amazon EKS для защиты рабочих нагрузок от несанкционированного доступа, минимизации поверхности атаки и соблюдения критериев доверительных служб SOC 2 по безопасности и конфиденциальности.
Ответственные стороны:
Основные: Команда безопасности
Поддерживающие: Владельцы кластеров EKS, Команды DevOps/SRE, Команда сетевой инженерии
- Развернуть рабочие узлы в приватных подсетях с NAT gateway для исходящего доступа
- Настроить группы безопасности следуя принципам наименьших привилегий
- Внедрить сетевые политики Kubernetes используя VPC CNI или Calico
apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: deny-all-default spec: podSelector: {} policyTypes: [Ingress, Egress] - Включить группы безопасности для подов используя AWS CNI
- Настроить Application Load Balancer с AWS WAF
Внедрение Service Mesh (Опционально, рекомендуется)
Улучшить безопасность, наблюдаемость и контроль коммуникации сервис-сервис внутри кластеров Amazon EKS через опциональный service mesh, обеспечивая соответствие критериям доверительных служб SOC 2 по безопасности, доступности и конфиденциальности.
Ответственные стороны:
Основные: Команда безопасности
Поддерживающие: Владельцы кластеров EKS, Команды DevOps/SRE, Владельцы приложений
- Развернуть Istio или Linkerd для шифрования сервис-сервис
- Внедрить mTLS между сервисами
- Настроить политики трафика и контроли доступа
CC7: Системные операции
Управление изменениями
Обеспечить авторизацию, тестирование, документирование и контролируемую реализацию всех изменений в кластерах Amazon EKS, рабочих нагрузках Kubernetes и поддерживающей инфраструктуре для снижения риска инцидентов безопасности, простоев и несоответствия требованиям в соответствии с критериями доверительных служб SOC 2 по безопасности, доступности и конфиденциальности.
Ответственные стороны:
Основные: Команда безопасности
Поддерживающие: Владельцы кластеров EKS, Команда безопасности, Владельцы приложений
- Внедрить рабочие процессы GitOps используя Flux или ArgoCD
flux bootstrap github --owner=$GITHUB_USER --repository=$GITHUB_REPO \ --branch=main --path=./clusters/production - Настроить Infrastructure as Code используя Terraform или CDK
- Внедрить CI/CD пайплайны со сканированием безопасности
- Установить процедуры отката и канарейки развертываний
Управление конфигурацией
Обеспечить настройку, поддержание и мониторинг кластеров Amazon EKS, рабочих нагрузок Kubernetes и поддерживающей инфраструктуры AWS согласно утвержденным базовым линиям для предотвращения несанкционированных изменений, поддержания безопасности и поддержки критериев доверительных служб SOC 2 по безопасности, доступности и конфиденциальности.
Ответственные стороны:
Основные: Команда DevOps/SRE
Поддерживающие: Владельцы кластеров EKS, Команда безопасности, Команда соответствия
- Развернуть cluster-autoscaler или karpenter (предпочтительно) для динамического масштабирования
- Настроить HPA и VPA для оптимизации рабочих нагрузок
- Внедрить управление секретами используя AWS Secrets Manager
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml
CC8: Управление изменениями
Автоматизированный пайплайн развертывания
Обеспечить развертывание изменений приложений и инфраструктуры в среды Amazon EKS через безопасный, автоматизированный пайплайн, который обеспечивает проверки безопасности, соответствия и качества перед достижением изменениями продакшена, в соответствии с критериями доверительных служб SOC 2 по безопасности, доступности и конфиденциальности.
Ответственные стороны:
Основные: Команда DevOps/SRE
Поддерживающие: Команда безопасности, Владельцы кластеров EKS, Владельцы приложений
- Внедрить автоматизированное тестирование в CI/CD пайплайнах
- Настроить гейты одобрения для продакшен развертываний
- Развернуть канарейки релизов с автоматическим откатом
- Внедрить обнаружение дрейфа конфигурации используя AWS Config
Управление версиями
Обеспечить работу всех кластеров Amazon EKS, компонентов Kubernetes, сред выполнения контейнеров и поддерживающей инфраструктуры на поддерживаемых и безопасных версиях, а также управление обновлениями контролируемым образом для снижения рисков безопасности, поддержания стабильности и соответствия критериям доверительных служб SOC 2 по безопасности и доступности.
Ответственные стороны:
Основные: Команда DevOps/SRE
Поддерживающие: Команда безопасности, Владельцы кластеров EKS, Владельцы приложений
- Поддерживать актуальность версий EKS (поддерживаемые версии N-2)
- Планировать регулярные обновления кластеров следуя рекомендациям AWS
- Тестировать совместимость аддонов перед обновлениями
- Документировать процедуры обновления и планы отката
CC9: Снижение рисков
Шифрование и защита данных
Обеспечить шифрование и защиту всех чувствительных данных, обрабатываемых кластерами Amazon EKS, рабочими нагрузками Kubernetes и поддерживающими сервисами AWS при передаче и хранении для поддержания конфиденциальности, целостности и соответствия критериям доверительных служб SOC 2 по безопасности, конфиденциальности и приватности.
Ответственные стороны:
Основные: Команда безопасности
Поддерживающие: Владельцы кластеров EKS, Команды DevOps/SRE, Команда соответствия
- Включить шифрование KMS для секретов Kubernetes
aws eks create-cluster --name $CLUSTER_NAME \ --encryption-config resources=secrets,provider={keyArn=$KMS_KEY_ARN} - Настроить EBS CSI драйвер с зашифрованными классами хранения
apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: ebs-encrypted provisioner: ebs.csi.aws.com parameters: type: gp3 encrypted: "true" kmsKeyId: alias/ebs-encryption-key - Внедрить envelope encryption для данных приложений
- Включить шифрование при передаче для всех коммуникаций
Продолжение следует…
Связанные материалы
- Amazon EKS SOC 2 Type II Чеклист соответствия - Часть 1 - Основы соответствия
- Повышение безопасности образов контейнеров с использованием Wazuh и Trivy - Сканирование уязвимостей
- Улучшение Wazuh с помощью Ollama: Часть 1 - Мониторинг безопасности с помощью ИИ
- Как настроить пользовательскую интеграцию между Wazuh и MARK - Интеграции платформ безопасности
Навигация по серии:
- Часть 1: Базовые контроли
- Часть 2: Расширенные контроли (вы здесь)