考题解析 | 在 AWS 中检测 EKS 集群的未授权访问

  题目

A company needs to detect unauthenticated access to its Amazon Elastic Kubernetes Service (Amazon EKS) clusters. The company needs a solution that requires no additional configuration of the existing EKS deployment.
Which solution will meet these requirements with the LEAST operational effort?
A. Install an Amazon EKS add-on from a security vendor.
B. Enable AWS Security Hub. Monitor the Kubernetes findings.
C. Monitor Amazon CloudWatch Container Insights metrics for Amazon EKS.
D. Enable Amazon GuardDuty. Use EKS Audit Log Monitoring.

  参考答案

D

  需求概括

一家公司需要检测其 Amazon EKS 集群中的未授权访问，且要求解决方案无需对现有 EKS 部署进行额外配置，同时操作复杂度最低。
核心需求：
检测 EKS 集群中的未授权访问（如无效凭据、权限滥用、非法 API 调用等）。
无需修改现有 EKS 部署（如不安装 Agent、不修改 Kubernetes 配置、不启用额外日志等）。
运维复杂度最低（优先选择 AWS 原生服务，避免第三方工具或复杂集成）。

  技术分析

基于审计日志：通过分析 Kubernetes API Server 的审计日志（如 Unauthorized、Forbidden 事件）识别异常访问。
基于威胁检测服务：利用 AWS 原生安全服务（如 GuardDuty、Security Hub）自动分析 API 调用模式。
基于运行时监控：在集群内部署 Agent 监控进程、网络或文件系统（但违反“无额外配置”要求）。
CloudWatch ：仅监控基础设施指标（CPU/ 内存），无安全检测功能。
第三方插件：依赖厂商规则，需安装和维护。

  参考解析

技巧：排除明显错误选项，在没有明显错误的选项中选择最合理的选项。

A. 不正确。安装第三方安全厂商提供的 Amazon EKS 插件。该方案需在 EKS 集群中部署插件（如 DaemonSet 或 Operator），涉及权限配置、镜像拉取等操作，需要增加运营工作量来管理和维护插件。
B. 不正确。启用 AWS Security Hub 并监控 Kubernetes 发现结果。AWS Security Hub 是一个综合的安全状态管理服务，通过关联来自多个 AWS 服务的安全信号来检测安全问题，例 Amazon Inspector 的实例脆弱性检测服务、Amazon Macie 的敏感数据检测服务，Amazon GuardDuty 的威胁检测服务。
C. 不正确。监控 Amazon CloudWatch Container Insights 的 EKS 指标。该方案仅收集和监控容器化应用程序的基础设施层性能指标，无法检测认证类攻击（如无效凭据）；需额外配置日志或自定义指标才能覆盖安全事件。
D. 正确。启用 Amazon GuardDuty，使用 EKS 审计日志监控。Amazon GuardDuty 是一项威胁检测服务，它可以持续监控 AWS 环境中的恶意活动和未经授权的行为。GuardDuty 使用威胁情报源（例如恶意 IP 地址和域名列表、文件哈希和机器学习 (ML) 模型）来识别 AWS 环境中的可疑活动和潜在的恶意活动。启用 GuardDuty 相对简单，不需要对现有 EKS 部署进行额外配置，整体运营工作量最少。

  官方参考文档