Compliance für Container-Images in Amazon EKS sichern

Mit Amazon EKS (Elastic Kubernetes Service) lassen sich Container-basierte Anwendungen bereitstellen, skalieren und betreiben. Dabei werden die Abhängigkeiten, Codes und Konfigurationen der Container in einem Docker-Image verpackt. Für eine sichere Entwicklungsumgebung lassen sich die Images automatisch auf Schwachstellen scannen.

Grafik: AWS

Mit der zunehmenden Container-Nutzung in Cloud-nativen Umgebungen werden Lösungen für die automatisierte Echtzeiteinsicht immer beliebter. Denn damit lassen sich alle Aktivitäten schnell überprüfen.

Die Umsetzung erfolgt durch Aktivieren des AWS Security Hubs in der gewünschten AWS-Region. Mit einer AWS Solution können Sie Ihre Container-Images im Amazon ECR-Image-Repository (Elastic Container Registry) automatisiert überprüfen lassen. Wird ein Image mit kritischen oder hohen CVEs (Common Vulnerabilities and Exposures) von Ihnen im ECR hochgeladen und veröffentlicht, wird automatisch ein Befund für den AWS Security Hub generiert, um Probleme beheben und Images blockieren zu können.

AWS Solution für den automatischen Befundbericht von Containern

Öffnen Sie AWS CloudFormation in der AWS Management-Konsole, und starten Sie die Vorlage aws-ecr-continuouscompliance-v1.yml. Die weiteren Schritte erfolgen automatisch:

1. Die Regel für Amazon CloudWatch Events (EventBridge) wird basierend auf einem ECR-Ereignis für einen abgeschlossenen Image-Scan ausgelöst.

2. AWS Lambda bezieht Details aus dem ECR-Event „Completed Image Scan“ und sendet den Befund über das ASFF (AWS Security Finding Format) an den Security Hub.

3. Der AWS Security Hub erstellt eine Regel, die durch eine benutzerdefinierte Aktion ausgelöst wird. Als Ziel für diese Aktion dient AWS Lambda. Weist das Event eine Schwachstelle auf (kritisch oder hoch), verweigert AWS Lambda den Zugriff durch eine ECR-Repository-Richtlinie.

Weitere Informationen: https://aws.amazon.com/de/blogs/containers/automating-image-compliance-for-amazon-eks-using-amazon-elastic-container-registry-and-aws-security-hub