Sicherheitsüberlegungen für Amazon EKS Auto Mode - Amazon EKS
API-Sicherheit und AuthentifizierungNetzwerksicherheitSicherheit für verwaltete EC2-InstancesAutomatisiertes RessourcenmanagementBewährte Methoden für die Gewährleistung der Sicherheit

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Sicherheitsüberlegungen für Amazon EKS Auto Mode

In diesem Thema werden die Sicherheitsarchitektur, die Steuerungen und die bewährten Verfahren für Amazon EKS Auto Mode beschrieben. Da Unternehmen containerisierte Anwendungen in großem Umfang einsetzen, wird es immer komplexer, eine starke Sicherheitslage aufrechtzuerhalten. EKS Auto Mode implementiert automatisierte Sicherheitskontrollen und lässt sich in AWS-Sicherheitsservices integrieren, um Sie beim Schutz Ihrer Cluster-Infrastruktur, Workloads und Daten zu unterstützen. Durch integrierte Sicherheitsfeatures wie die erzwungene Verwaltung des Knotenlebenszyklus und die automatisierte Bereitstellung von Patches unterstützt Sie EKS Auto Mode dabei, bewährte Sicherheitsverfahren einzuhalten und gleichzeitig den Betriebsaufwand zu reduzieren.

Bevor Sie mit diesem Thema fortfahren, stellen Sie sicher, dass Sie mit den grundlegenden Konzepten von EKS Auto Mode vertraut sind und die Voraussetzungen für die Aktivierung von EKS Auto Mode in Ihren Clustern überprüft haben. Allgemeine Informationen zur Sicherheit von Amazon EKS finden Sie unter Sicherheit in Amazon EKs.

Amazon EKS Auto Mode basiert auf den bestehenden Sicherheitsgrundlagen von Amazon EKS und führt zusätzliche automatisierte Sicherheitskontrollen für von EC2 verwaltete Instances ein.

API-Sicherheit und Authentifizierung

Amazon EKS Auto Mode nutzt AWS-Plattform-Sicherheitsmechanismen, um Aufrufe an die Amazon-EKS-API zu sichern und zu authentifizieren.

  • Der Zugriff auf die Kubernetes-API wird durch EKS-Zugriffseinträge gesichert, die in AWS-IAM-Identitäten integriert sind.

  • Kunden können durch die Konfiguration von EKS-Zugriffseinträgen eine detaillierte Zugriffskontrolle für den Kubernetes-API-Endpunkt implementieren.

Netzwerksicherheit

Amazon EKS Auto Mode unterstützt mehrere Ebenen der Netzwerksicherheit:

Sicherheit für verwaltete EC2-Instances

Amazon EKS Auto Mode betreibt verwaltete EC2-Instances mit den folgenden Sicherheitskontrollen:

EC2-Sicherheit

  • Verwaltete EC2-Instances bieten die gleichen Sicherheitsfeature wie Amazon EC2.

  • Weitere Informationen zu verwalteten EC2-Instances finden Sie unter Sicherheit in Amazon EC2.

Lebenszyklusmanagement von Instances

Von EKS Auto Mode betriebene verwaltete EC2-Instances haben eine maximale Lebensdauer von 21 Tagen. Amazon EKS Auto Mode beendet automatisch Instances, die diese Lebensdauer überschreiten. Diese Lebenszyklusbeschränkung trägt dazu bei, Konfigurationsabweichungen zu verhindern und die Sicherheitslage aufrechtzuerhalten.

Datenschutz

  • Der Speicher der Amazon-EC2-Instance ist verschlüsselt. Es handelt sich hierbei um Speicher, der direkt mit der Instance verbunden ist. Weitere Informationen finden Sie unter Datenschutz in Amazon EC2.

  • EKS Auto Mode verwaltet die bei der Erstellung an EC2-Instances angefügten Volumes, einschließlich Root- und Daten-Volumes. EKS Auto Mode verwaltet EBS-Volumes, die mit den persistenten Speicherfunktionen von Kubernetes erstellt wurden, nicht vollständig.

Patch-Management

  • Amazon EKS Auto Mode wendet automatisch Patches auf verwaltete Instances an.

  • Patches beinhalten:

    • Betriebssystemupdates

    • Sicherheits-Patches

    • Komponenten von Amazon EKS Auto Mode

Anmerkung

Kunden sind weiterhin für die Sicherung und Aktualisierung der in diesen Instances ausgeführten Workloads verantwortlich.

Zugriffskontrollen

  • Der direkte Instance-Zugriff ist eingeschränkt:

    • SSH-Zugriff ist nicht verfügbar.

    • Der Zugriff auf AWS Systems Manager Session Manager (SSM) ist nicht verfügbar.

  • Managementoperationen werden über die Amazon-EKS-API und die Kubernetes-API durchgeführt.

Automatisiertes Ressourcenmanagement

Amazon EKS Auto Mode verwaltet Amazon Elastic Block Store (Amazon EBS)-Volumes, die mit den persistenten Speicherfunktionen von Kubernetes erstellt wurden, nicht vollständig. EKS Auto Mode verwaltet auch keine Elastic Load Balancers (ELB). Amazon EKS Auto Mode automatisiert Routineaufgaben für diese Ressourcen.

Speichersicherheit

  • AWS empfiehlt, die Verschlüsselung für EBS-Volumes zu aktivieren, die durch persistente Speicher-Features von Kubernetes bereitgestellt werden. Weitere Informationen finden Sie unter Erstellen einer Speicherklasse.

  • Verschlüsselung im Ruhezustand mit AWS KMS

  • Sie können Ihr AWS-Konto so konfigurieren, dass es die Verschlüsselung neuer EBS-Volumes und Snapshot-Kopien erzwingt, die Sie erstellen. Weitere Informationen finden Sie unter Amazon-EBS-Verschlüsselung standardmäßig aktivieren im Amazon-EBS-Benutzerhandbuch.

  • Weitere Informationen finden Sie unter Sicherheit in Amazon EBS.

Load-Balancer-Sicherheit

  • Automatisierte Konfiguration von Elastic Load Balancers

  • Verwaltung von SSL/TLS-Zertifikaten durch Integration des AWS-Zertifikatsmanagers

  • Automatisierung von Sicherheitsgruppen für die Zugriffskontrolle des Load Balancers

  • Weitere Informationen finden Sie unter Sicherheit in Elastic Load Balancing.

Bewährte Methoden für die Gewährleistung der Sicherheit

Der folgende Abschnitt beschreibt bewährte Sicherheitsmethoden für Amazon EKS Auto Mode.

  • Überprüfen Sie regelmäßig die AWS-IAM-Richtlinien und EKS-Zugriffseinträge.

  • Implementieren Sie Zugriffsmuster mit geringsten Berechtigungen für Workloads.

  • Überwachen Sie die Cluster-Aktivität über AWS CloudTrail und Amazon CloudWatch. Weitere Informationen erhalten Sie unter API-Aufrufe als AWS-CloudTrail-Ereignisse protokollieren und Überwachung von Cluster-Daten mit Amazon CloudWatch.

  • Verwenden Sie AWS Security Hub zur Bewertung der Sicherheitslage.

  • Implementieren Sie Pod-Sicherheitsstandards, die für Ihre Workloads geeignet sind.