Modo automático EKS: seguridad - Amazon EKS
Arquitectura de seguridadPreguntas frecuentes (FAQ)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Modo automático EKS: seguridad

sugerencia

Explore las mejores prácticas a través de los talleres de Amazon EKS.

Amazon EKS Auto Mode presenta capacidades de seguridad mejoradas al extender la administración de seguridad de AWS más allá del plano de control para incluir nodos de trabajo y componentes principales del clúster. Este modelo de seguridad integral ayuda a las organizaciones a mantener una postura de seguridad sólida y, al mismo tiempo, a reducir la sobrecarga operativa.

Modelo de responsabilidad compartida: modo automático EKS

Modelo de responsabilidad compartida: Amazon EKS Auto Mode

Las principales mejoras de seguridad del modo automático EKS incluyen:

  • Sistema operativo mínimo optimizado para contenedores con una superficie de ataque reducida

  • Mejores prácticas de seguridad aplicadas mediante instancias gestionadas por EC2

  • Administración automatizada de parches de seguridad con rotación obligatoria de nodos

  • Límites de seguridad y aislamiento de nodos integrados

  • Integración de IAM simplificada con un mínimo de permisos necesarios

El modo automático de EKS aplica estos controles de seguridad de forma predeterminada, lo que ayuda a las organizaciones a cumplir sus requisitos de seguridad y conformidad, a la vez que simplifica las operaciones de los clústeres. Este enfoque se ajusta a defense-in-depth los principios y proporciona varios niveles de controles de seguridad a nivel de infraestructura, nodo y carga de trabajo.

importante

Si bien el modo automático de EKS ofrece capacidades de seguridad mejoradas, las organizaciones deben seguir implementando los controles de seguridad adecuados en el nivel de aplicación y seguir las mejores prácticas de seguridad para las cargas de trabajo que se ejecutan en el clúster.

Arquitectura de seguridad

El modo automático de EKS implementa controles de seguridad en varios niveles de la infraestructura de EKS, desde el plano de control hasta los nodos individuales. Comprender esta arquitectura es crucial para gestionar y proteger de forma eficaz los clústeres de EKS.

Seguridad del plano de control

El plano de control EKS en el modo automático EKS mantiene los mismos estándares de alta seguridad que los clústeres EKS tradicionales, al tiempo que añade nuevas capacidades de seguridad:

  • Cifrado de sobres: todos los datos de la API de Kubernetes se cifran automáticamente mediante cifrado de sobres.

  • Integración de KMS: usa AWS KMS con el proveedor de KMS de Kubernetes v2, con opciones para claves propiedad de AWS o claves administradas por el cliente (CMK).

  • Administración de componentes mejorada: los componentes críticos, como el autoscalado, la administración de ENI y los controladores de EBS, se trasladan fuera del clúster y son gestionados por AWS.

  • Controles de seguridad y capacidades de auditoría mejorados: los permisos necesarios en el modo automático de EKS, más allá de los clústeres de EKS estándar, se gestionan en su totalidad mediante la función de IAM del clúster y no mediante funciones de nodos individuales.

Gestión de acceso e integración de IAM

El modo automático de EKS proporciona una integración mejorada con AWS Identity and Access Management (IAM) a través de EKS Access Entries y EKS Pod Identity.

Administración de acceso a clústeres

El modo automático de EKS introduce mejoras en la gestión del acceso a los clústeres a través de la API de gestión de acceso a los clústeres (CAM):

  • Modos de autenticación estandarizados mediante EKS_API

  • Seguridad mejorada mediante la gestión de acceso basada en API

  • Control de acceso simplificado mediante entradas de acceso y políticas de acceso

Se pueden crear entradas de acceso para gestionar el acceso a los clústeres:

aws eks create-access-entry \
    --cluster-name ${EKS_CLUSTER_NAME} \
    --principal-arn arn:aws:iam::${ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
    --type STANDARD
importante

Si bien todavía es posible crear un clúster de modo automático de EKS con el modo de CONFIG_MAP_AND_API autenticación, este no es el enfoque estándar y se recomienda encarecidamente utilizar el modo de API autenticación predeterminado para los nuevos clústeres. APIla autenticación basada proporciona una seguridad mejorada y una administración de acceso simplificada ConfigMap en comparación con el enfoque tradicional.

Pod Identity de EKS

El modo automático de EKS viene con el Pod Identity Agent ya implementado, lo que permite conceder permisos de AWS IAM a los pods de forma simplificada:

  • Administración simplificada de los permisos de IAM sin la configuración del proveedor de OIDC

  • Reducción de la sobrecarga operativa en comparación con el IRSA

  • Seguridad mejorada mediante el etiquetado de sesiones y la compatibilidad con ABAC

aws eks create-pod-identity-association \
  --cluster-name ${EKS_CLUSTER_NAME} \
  --role-arn arn:aws:iam::${AWS_ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
  --namespace ${NAMESPACE} \
  --service-account ${SERVICE_ACCOUNT_NAME}
importante

Pod Identity es el enfoque recomendado para los permisos de IAM en el modo automático de EKS, ya que proporciona funciones de seguridad mejoradas y una administración simplificada en comparación con el IRSA.

Rol de IAM del nodo

El modo automático EKS utiliza un nuevo modo AmazonEKSWorkerNodeMinimalPolicy que solo proporciona los permisos necesarios para que funcionen los nodos del modo automático EKS. Estos permisos:

  • Proporcionan un conjunto de permisos reducido en comparación con las políticas de nodos tradicionales

  • Cumpla con el principio de privilegio mínimo

  • AWS los administra y actualiza automáticamente

Este enfoque político mínimo ayuda a mejorar la postura de seguridad al limitar los permisos disponibles para el nodo y sus cargas de trabajo.

Seguridad de nodos

El modo automático EKS introduce varias mejoras de seguridad importantes a nivel de nodo:

Seguridad de instancias gestionadas por EC2

Los nodos de EKS Auto Mode utilizan instancias gestionadas por Amazon EC2 con propiedades de seguridad mejoradas:

  • Restricciones impuestas por IAM que impiden operaciones que podrían comprometer la capacidad de AWS para operar los nodos

  • Patrones de infraestructura inmutables en los que los cambios de configuración requieren la sustitución de nodos

  • Sustitución obligatoria de los nodos en un plazo de 21 días para garantizar las actualizaciones de seguridad periódicas

  • Acceso restringido a los metadatos de la instancia IMDSv2 con límites de salto controlados

Seguridad del sistema operativo

El sistema operativo es una variante personalizada de Bottlerocket, optimizada para el modo automático EKS, que incluye:

  • Sistema de archivos raíz de solo lectura

  • SELinux activado de forma predeterminada con controles de acceso obligatorios

  • Aislamiento automático de cápsulas mediante etiquetas SELinux MCS únicas

  • Se ha desactivado el acceso a SSH y se han eliminado los servicios innecesarios

  • Parches de seguridad automatizados mediante la rotación de nodos

Seguridad de los componentes de los nodos

Los componentes del nodo se configuran con las mejores prácticas de seguridad:

  • Kubelet está configurado con valores predeterminados seguros

  • Configuración reforzada en tiempo de ejecución de contenedores

  • Gestión y rotación automatizadas de certificados

  • node-to-control-planeComunicación restringida

Seguridad de la red

El modo automático de EKS implementa varias funciones de seguridad de red para garantizar una comunicación segura dentro del clúster y con recursos externos:

Política de red CNI de VPC

El modo automático de EKS aprovecha el soporte nativo de políticas de red de Kubernetes del complemento CNI de Amazon VPC:

  • Se integra con la API original de políticas de red de Kubernetes

  • Permite un control detallado de la comunicación pod-to-pod

  • Soporta reglas de entrada y salida

Para habilitar el soporte de políticas de red en el modo automático de EKS, debe configurar el complemento CNI de VPC con un manifiesto. configMap A continuación se muestra un ejemplo:

apiVersion: v1
kind: ConfigMap
metadata:
  name: amazon-vpc-cni
  namespace: kube-system
data:
  enable-network-policy: "true"

También es necesario definir si el soporte de la política de red está configurado en la clase de nodos, como se muestra a continuación:

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: example-node-class
spec:
  networkPolicy: DefaultAllow
  networkPolicyEventLogs: Enabled

Una vez activado, puede crear políticas de red para controlar el tráfico:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

Gestión de ENI mejorada

El modo automático de EKS proporciona una seguridad mejorada para la administración de la interfaz de red elástica (ENI):

  • Instalación y configuración de ENI gestionados por AWS

  • Separación del tráfico de control del tráfico de datos

  • Administración automatizada de direcciones IP con menos privilegios necesarios en los nodos

Seguridad del almacenamiento

El modo automático EKS proporciona funciones de seguridad mejoradas para el almacenamiento efímero y persistente:

Almacenamiento efímero

  • Todos los datos escritos en volúmenes efímeros se cifran automáticamente

  • Utiliza el algoritmo criptográfico AES-256 estándar de la industria

  • El servicio gestiona sin problemas el cifrado y el descifrado

Volúmenes de EBS

  • Los volúmenes de EBS raíz y de datos siempre están cifrados

  • Los volúmenes están configurados para que se eliminen al finalizar la instancia

  • Existe la opción de especificar claves KMS personalizadas para el cifrado

Integración de EFS

  • Support para el cifrado en tránsito con EFS

  • Cifrado automático en reposo para sistemas de archivos EFS

  • Integración con puntos de acceso EFS para un mejor control de acceso

importante

Cuando utilice EFS con el modo automático de EKS, asegúrese de que los ajustes de cifrado adecuados estén configurados en el nivel del sistema de archivos de EFS, ya que el modo automático de EKS no administra el cifrado de EFS directamente.

Monitoreo y registro

El modo automático de EKS ofrece funciones mejoradas de supervisión y registro para ayudarle a mantener la visibilidad del estado operativo y del estado de seguridad del clúster.

Registro de plano de control

El modo automático EKS mantiene las mismas capacidades de registro en el plano de control que el EKS estándar, pero habilita todos los registros de forma predeterminada para mejorar la supervisión.

  • Los registros se envían a Amazon CloudWatch Logs

  • De forma predeterminada, el modo automático de EKS habilita todos los registros del plano de control: el servidor API, la auditoría, el autenticador, el administrador del controlador y el programador

  • El modo automático EKS permite una visibilidad detallada de las operaciones del clúster y los eventos de seguridad

importante

El registro en el plano de control conlleva costes adicionales por el almacenamiento de registros en CloudWatch él. Considere detenidamente su estrategia de registro para equilibrar las necesidades de seguridad con la administración de costos.

Registro a nivel de nodo

El modo automático EKS mejora el registro a nivel de nodo:

  • Los registros del sistema se recopilan automáticamente y se puede acceder a ellos a través de los registros CloudWatch

  • Los registros de los nodos se conservan incluso después de la finalización del nodo, lo que facilita el análisis posterior al incidente

  • Visibilidad mejorada de los eventos de seguridad y los problemas operativos a nivel de nodo

GuardDuty Integración con Amazon

Los clústeres de modo automático de EKS se integran a la perfección con Amazon GuardDuty para mejorar la detección de amenazas. Entre sus características se incluyen:

  • Escaneo automatizado de los registros de auditoría del plano de control

  • Supervisión del tiempo de ejecución que se puede habilitar para la supervisión de las cargas de trabajo

  • Integración con los GuardDuty hallazgos y los mecanismos de alerta existentes

Para habilitar la protección del modo automático de EKS en Amazon GuardDuty for Kubernetes Audit Logs, puede ejecutar el siguiente comando:

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{"Kubernetes":{"AuditLogs":{"Enable":true}}}'

GuardDuty Integración de Amazon para seguridad en tiempo de ejecución

Amazon GuardDuty proporciona una supervisión de seguridad esencial en tiempo de ejecución para los clústeres de modo automático de EKS, y ofrece capacidades integrales de detección de amenazas y supervisión de la seguridad. Esta integración es particularmente importante, ya que ayuda a identificar posibles amenazas de seguridad y actividades maliciosas en tiempo real.

GuardDuty Características principales del modo automático EKS

  • Supervisión del tiempo de ejecución:

    • Supervisión continua del comportamiento en tiempo de ejecución

    • Detección de actividades maliciosas o sospechosas

    • Identificación de posibles intentos de fuga de contenedores

    • Supervisión de la ejecución de procesos o de las conexiones de red inusuales

  • Detección de amenazas específicas de Kubernetes:

    • Identificación de intentos sospechosos de despliegue de cápsulas

    • Detección de contenedores comprometidos

    • Supervisión de los lanzamientos de contenedores privilegiados

    • Identificación del uso sospechoso de cuentas de servicio

  • Tipos de hallazgos completos:

    • Política: Kubernetes/*: detecta las violaciones de las mejores prácticas de seguridad

    • Impacto: Kubernetes/*: identifica los recursos potencialmente afectados

    • Discovery: Kubernetes/*: detecta las actividades de reconocimiento

    • Ejecución:Kubernetes/*: identifica patrones de ejecución sospechosos

    • Persistencia: Kubernetes/*: detecta posibles amenazas persistentes

Para habilitar la protección del modo automático de EKS en Amazon GuardDuty for Kubernetes Audit Logs and Runtime Monitoring, puede ejecutar el siguiente comando:

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{
        "Kubernetes": {
            "AuditLogs": {"Enable": true},
            "RuntimeMonitoring": {"Enable": true}
        }
    }'
importante

GuardDuty La monitorización del tiempo de ejecución se admite automáticamente en los clústeres de EKS Auto Mode, lo que proporciona una mayor visibilidad de la seguridad sin necesidad de realizar configuraciones adicionales a nivel de nodo.

GuardDuty Integración de los resultados

GuardDuty los hallazgos se pueden integrar con otros servicios de AWS para una respuesta automática:

  • EventBridge Reglas:

{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "type": ["Runtime:Container/*", "Runtime:Kubernetes/*"],
    "severity": [4, 5, 6, 7, 8]
  }
}

  • Integración de Security Hub:

# Enable Security Hub integration
aws securityhub enable-security-hub \
    --enable-default-standards \
    --tags '{"Environment":"Production"}' \
    --region us-west-2
Mejores prácticas para GuardDuty el modo automático EKS

  1. Habilite todos los tipos de búsqueda:

    • Habilite tanto la supervisión del registro de auditoría de Kubernetes como la supervisión del tiempo de ejecución

    • Configure los resultados para todos los niveles de gravedad

  2. Implemente una respuesta automatizada:

    • Cree EventBridge reglas para los hallazgos de alta gravedad

    • Intégrelo con AWS Security Hub para una administración de seguridad centralizada

    • Configure acciones de remediación automatizadas cuando proceda

  3. Revisión y ajuste periódicos:

    • Revise periódicamente GuardDuty los hallazgos

    • Ajuste los umbrales de detección en función de su entorno

    • Actualice los procedimientos de respuesta en función de los nuevos tipos de hallazgos

  4. Gestión multicuenta:

    • Considere la posibilidad de utilizar una cuenta de GuardDuty administrador para la administración centralizada

    • Habilite la agregación de los hallazgos en varias cuentas

aviso

Si bien GuardDuty proporciona una supervisión de seguridad integral, debe formar parte de una defense-in-depth estrategia que incluya otros controles de seguridad, como las políticas de red, los estándares de seguridad de los módulos y la configuración adecuada del RBAC.

Preguntas frecuentes (FAQ)

P: ¿En qué se diferencia el modo automático EKS del EKS estándar en términos de seguridad? R: El modo automático EKS proporciona una seguridad mejorada mediante instancias gestionadas por EC2, la aplicación automática de parches, la rotación obligatoria de nodos y los controles de seguridad integrados. Reduce la sobrecarga operativa y, al mismo tiempo, mantiene una sólida postura de seguridad al permitir que AWS administre más aspectos de seguridad.

P: ¿Puedo seguir utilizando las herramientas y políticas de seguridad existentes con el modo automático de EKS? R: Sí, el modo automático de EKS es compatible con la mayoría de las herramientas y políticas de seguridad existentes. Sin embargo, es posible que algunas herramientas de seguridad a nivel de nodo deban adaptarse debido a la naturaleza gestionada de los nodos del modo automático de EKS.

P: ¿Cómo puedo implementar los agentes de seguridad y las herramientas de monitoreo en el modo automático de EKS? R: En el modo automático de EKS, los agentes de seguridad y las herramientas de supervisión se deben implementar como cargas de trabajo de Kubernetes (normalmente DaemonSets, se despliega una instancia del pod en cada nodo de forma predeterminada) en lugar de instalarse directamente en el sistema operativo del nodo. Este enfoque se alinea con el modelo de infraestructura inmutable del modo automático de EKS. Ejemplo:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: security-agent
  namespace: security
spec:
  selector:
    matchLabels:
      app: security-agent
  template:
    metadata:
      labels:
        app: security-agent
    spec:
      containers:
      - name: security-agent
        image: security-vendor/agent:latest
        securityContext:
          privileged: false
          # Use specific capabilities instead of privileged mode
          capabilities:
            add: ["NET_ADMIN", "SYS_ADMIN"]

P: ¿Las soluciones de seguridad de terceros son compatibles con el modo automático EKS? R: Muchas soluciones de seguridad populares de terceros se han actualizado para que sean compatibles con el modo automático EKS, pero siempre se recomienda comprobar con el proveedor de seguridad la versión específica y los requisitos de implementación, ya que la compatibilidad con el modo automático de EKS puede requerir versiones actualizadas o configuraciones de implementación específicas.

P: ¿Cuáles son las limitaciones de los agentes de seguridad en el modo automático de EKS? R: Las principales limitaciones incluyen:

  • No hay acceso directo para modificar el sistema operativo del nodo

  • No hay persistencia en las rotaciones de los nodos

  • Debe ser compatible con la implementación basada en contenedores

  • Debe respetarse la inmutabilidad de los nodos

  • Puede requerir diferentes configuraciones de privilegios

  • Cualquier cambio persistente en los nodos debe realizarse a través de NodePools los NodeClasses recursos.

nota

Si bien el modo automático de EKS puede requerir ajustes en la estrategia de despliegue de las herramientas de seguridad, estos cambios suelen dar como resultado configuraciones más fáciles de mantener y seguras, alineadas con las mejores prácticas nativas de la nube. Se espera que el modo automático de EKS absorba por completo la mayoría de las funciones que gestiona. Por lo tanto, cualquier cambio manual que realices en esas funciones, si es que puedes acceder a ellas, podría ser sobrescrito o descartado por el Modo Automático EKS.

P: ¿Puedo usar el modo personalizado AMIs con el modo automático EKS? R: En este momento, el modo automático EKS no admite el modo personalizado AMIs. Esto se debe a su diseño, ya que AWS administra la seguridad, los parches y el mantenimiento de los nodos como parte del modelo de responsabilidad compartida. Los nodos del modo automático de EKS utilizan una variante especializada de Bottlerocket optimizada y mantenida por AWS.

P: ¿Con qué frecuencia se giran automáticamente los nodos en el modo automático EKS? R: Los nodos en el modo automático EKS tienen una vida útil máxima de 21 días. Se reemplazarán automáticamente antes de este límite, lo que garantiza la aplicación de parches y las actualizaciones de seguridad periódicas.

P: ¿Puedo utilizar SSH en los nodos del modo automático de EKS para solucionar problemas? R: No, el acceso SSH directo no está disponible en el modo automático EKS. En su lugar, puede utilizar la definición de recursos NodeDiagnostic personalizada (CRD) para recopilar los registros del sistema y la información de depuración.

P: ¿La compatibilidad con las políticas de red está habilitada de forma predeterminada en el modo automático de EKS? R: Por ahora, el soporte de políticas de red debe habilitarse de forma explícita a través de la configuración del complemento CNI de la VPC. Una vez activado, puedes usar las políticas de red estándar de Kubernetes.

P: ¿Debo usar IRSA o Pod Identity con el modo automático EKS? R: Si bien ambos son compatibles, Pod Identity es el enfoque recomendado en el modo automático de EKS, ya que ya incluye el complemento de agente Pod Identity Security y ofrece funciones de seguridad mejoradas y una administración simplificada.

P: ¿Puedo seguir utilizando el aws-auth ConfigMap en el modo EKS Auto? R: Se aws-auth ConfigMap trata de una función obsoleta. Se recomienda utilizar el enfoque predeterminado de autenticación basada en API para mejorar la seguridad y simplificar la administración del acceso.

P: ¿Cómo puedo monitorear los eventos de seguridad en el modo automático de EKS? R: El modo automático EKS se integra con múltiples soluciones de monitoreo GuardDuty, que incluyen CloudWatch, y CloudTrail. GuardDuty proporciona una supervisión mejorada de la seguridad en tiempo de ejecución específica para las cargas de trabajo de EKS.

P: ¿Cómo recopilo los registros de los nodos del modo automático de EKS? R: Utilice el NodeDiagnostic CRD, que carga automáticamente los registros a un bucket de S3. También puede utilizar CloudWatch Container Insights y AWS Distro para OpenTelemetry.

nota

Esta sección de preguntas frecuentes se actualiza periódicamente a medida que se añaden nuevas funciones al modo automático de EKS y recibimos preguntas frecuentes de los clientes.