Seguridad y autenticación de la API Seguridad de la red Seguridad de las instancias administradas por EC2 Administración automatizada de los recursos Prácticas recomendadas de seguridad

Consideraciones de seguridad para el modo automático de Amazon EKS

En este tema se describe la arquitectura de seguridad, los controles y las prácticas recomendadas para el modo automático de Amazon EKS. A medida que las organizaciones implementan aplicaciones en contenedores a escala, resulta cada vez más complejo mantener una postura de seguridad sólida. El modo automático de EKS implementa controles de seguridad automatizados y se integra con servicios de seguridad de AWS para ayudar a proteger la infraestructura del clúster, las cargas de trabajo y los datos. Gracias a las características de seguridad integradas, como la administración forzada del ciclo de vida de los nodos y la implementación automatizada de revisiones, el modo automático de EKS ayuda a seguir las prácticas recomendadas de seguridad a la vez que reduce la sobrecarga operativa.

Antes de continuar con este tema, asegúrese de que conoce los conceptos básicos del modo automático de EKS y de que ha revisado los requisitos previos para habilitar el modo automático de EKS en los clústeres. Para obtener información general sobre la seguridad de Amazon EKS, consulte Seguridad en Amazon EKS.

El modo automático de Amazon EKS se basa en los fundamentos de seguridad existentes de Amazon EKS al tiempo que introduce controles de seguridad automatizados adicionales para las instancias administradas de EC2.

Seguridad y autenticación de la API

El modo automático de Amazon EKS utiliza mecanismos de seguridad de la plataforma de AWS para proteger y autenticar las llamadas a la API de Amazon EKS.

El acceso a la API de Kubernetes está protegido mediante entradas de acceso de EKS, que se integran con las identidades de AWS IAM.
- Para obtener más información, consulte Concesión de acceso para los usuarios de IAM a las entradas de acceso de Kubernetes con EKS.
Los clientes pueden implementar un control de acceso detallado al punto de conexión de la API de Kubernetes mediante la configuración de entradas de acceso de EKS.

Seguridad de la red

El modo automático de Amazon EKS admite varias capas de seguridad de red:

Integración de la VPC
- Funciona dentro de la Amazon Virtual Private Cloud (VPC)
- Admite configuraciones de VPC y diseños de subred personalizados
- Habilita las redes privadas entre los componentes del clúster
- Para obtener más información, consulte Administración de las responsabilidades de seguridad para Amazon Virtual Private Cloud
Políticas de red
- Compatibilidad nativa con las políticas de red de Kubernetes
- Capacidad para definir reglas detalladas de tráfico de red
- Para obtener más información, consulte Limitación del tráfico de un pod con políticas de red de Kubernetes

Seguridad de las instancias administradas por EC2

El modo automático de Amazon EKS opera instancias administradas de EC2 con los siguientes controles de seguridad:

Seguridad de EC2

Las instancias administradas por EC2 mantienen las características de seguridad de Amazon EC2.
Para obtener más información sobre las instancias administradas por EC2, consulte Seguridad en Amazon EC2.

Administración del ciclo de vida de la instancia

Las instancias administradas de EC2 que funcionan con el modo automático de EKS tienen una vida útil máxima de 21 días. El modo automático de Amazon EKS termina automáticamente las instancias que sobrepasan esta vida útil. Este límite del ciclo de vida ayuda a evitar desviaciones en la configuración y mantiene la postura de seguridad.

Protección de los datos

El almacenamiento de instancias de Amazon EC2 está cifrado. Se trata de almacenamiento directamente conectado a la instancia. Para obtener más información, consulte Protección de datos en Amazon EC2.
El modo automático de EKS administra los volúmenes asociados a las instancias de EC2 en el momento de la creación, incluidos los volúmenes raíz y de datos. El modo automático de EKS no administra completamente los volúmenes de EBS creados mediante las características de almacenamiento persistente de Kubernetes.

Administración de parches

El modo automático de Amazon EKS aplica revisiones automáticamente a las instancias administradas.
Dentro de las revisiones se incluyen:
- Actualizaciones del sistema operativo
- Parches de seguridad
- Componentes del modo automático de Amazon EKS

nota

Los clientes mantienen la responsabilidad de proteger y actualizar las cargas de trabajo que se ejecutan en estas instancias.

Controles de acceso

El acceso directo a la instancia está restringido:
- El acceso SSH no está disponible.
- El acceso al Administrador de sesiones de AWS Systems Manager (SSM) no está disponible.
Las operaciones de administración se realizan a través de la API de Amazon EKS y la API de Kubernetes.

Administración automatizada de los recursos

El modo automático de Amazon EKS no administra completamente los volúmenes de Amazon Elastic Block Store (Amazon EBS) creados mediante las características de almacenamiento persistente de Kubernetes. El modo automático de EKS tampoco administra los equilibradores de carga elásticos (ELB). El modo automático de Amazon EKS automatiza las tareas rutinarias de estos recursos.

Seguridad de almacenamiento

AWS recomienda habilitar el cifrado para los volúmenes de EBS aprovisionados por las características de almacenamiento persistente de Kubernetes. Para obtener más información, consulte Creación de una clase de almacenamiento.
Cifrado en reposo mediante AWS KMS
Puede configurar su cuenta de AWS para aplicar el cifrado de los nuevos volúmenes de EBS y copias de instantáneas que cree. Para obtener más información, consulte Cómo habilitar el cifrado de Amazon EBS de forma predeterminada en la Guía del usuario de Amazon EBS.
Para obtener más información, consulte Seguridad en Amazon EBS.

Seguridad del equilibrador de carga

Configuración automatizada de equilibradores de carga elásticos
Administración de certificados SSL/TLS mediante la integración de AWS Certificate Manager
Automatización de grupos de seguridad para el control de acceso al equilibrador de carga
Para obtener más información, consulte Seguridad en Elastic Load Balancing.

Prácticas recomendadas de seguridad

La siguiente sección describe las prácticas recomendadas de seguridad aplicables al modo automático de Amazon EKS.

Revise periódicamente las políticas de AWS IAM y las entradas de acceso de EKS.
Implemente patrones de acceso de privilegio mínimo para las cargas de trabajo.
Supervise la actividad del clúster a través de AWS CloudTrail y Amazon CloudWatch. Para obtener más información, consulte Registrar llamadas a la API como eventos de AWS CloudTrail y Supervisión de datos de clústeres con Amazon CloudWatch.
Utilice AWS Security Hub para evaluar la postura de seguridad.
Aplique los estándares de seguridad de pod apropiados para las cargas de trabajo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cifrado de sobre predeterminado para todos los datos de la API de Kubernetes

Referencia de IAM