Mode automatique EKS - Sécurité - Amazon EKS
Architecture de sécuritéQuestions fréquentes (FAQ)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mode automatique EKS - Sécurité

Astuce

Découvrez les meilleures pratiques grâce aux ateliers Amazon EKS.

Amazon EKS Auto Mode introduit des fonctionnalités de sécurité améliorées en étendant la gestion de la sécurité d'AWS au-delà du plan de contrôle pour inclure les nœuds de travail et les composants principaux du cluster. Ce modèle de sécurité complet aide les entreprises à maintenir une solide posture de sécurité tout en réduisant les frais opérationnels.

Modèle de responsabilité partagée - Mode automatique EKS

Modèle de responsabilité partagée - Amazon EKS Auto Mode

Les principales améliorations apportées à la sécurité dans le mode automatique d'EKS sont les suivantes :

  • Système d'exploitation minimal optimisé pour les conteneurs avec une surface d'attaque réduite

  • Meilleures pratiques de sécurité appliquées grâce aux instances gérées EC2

  • Gestion automatisée des correctifs de sécurité avec rotation obligatoire des nœuds

  • Isolation des nœuds et limites de sécurité intégrées

  • Intégration IAM rationalisée avec un minimum d'autorisations requises

Le mode automatique d'EKS applique ces contrôles de sécurité par défaut, aidant ainsi les entreprises à répondre à leurs exigences de sécurité et de conformité tout en simplifiant les opérations des clusters. Cette approche est conforme defense-in-depth aux principes et fournit plusieurs niveaux de contrôles de sécurité au niveau de l'infrastructure, des nœuds et de la charge de travail.

Important

Bien que le mode automatique d'EKS offre des fonctionnalités de sécurité améliorées, les entreprises doivent tout de même mettre en œuvre des contrôles de sécurité appropriés au niveau de la couche application et suivre les meilleures pratiques de sécurité pour leurs charges de travail exécutées sur le cluster.

Architecture de sécurité

Le mode automatique EKS met en œuvre des contrôles de sécurité sur plusieurs couches de l'infrastructure EKS, du plan de contrôle aux nœuds individuels. Comprendre cette architecture est essentiel pour gérer et sécuriser efficacement vos clusters EKS.

Sécurité du plan de contrôle

Le plan de contrôle EKS en mode automatique EKS respecte les mêmes normes de sécurité élevées que les clusters EKS traditionnels tout en ajoutant de nouvelles fonctionnalités de sécurité :

  • Chiffrement des enveloppes : toutes les données de l'API Kubernetes sont automatiquement chiffrées à l'aide du chiffrement des enveloppes.

  • Intégration KMS : utilise AWS KMS avec le fournisseur Kubernetes KMS v2, avec des options pour les clés détenues par AWS ou les clés gérées par le client (CMK).

  • Gestion améliorée des composants : les composants critiques tels que l'auto-scaling, la gestion ENI et les contrôleurs EBS sont déplacés hors du cluster et gérés par AWS.

  • Contrôles de sécurité et capacités d'audit améliorés : les autorisations requises en mode automatique d'EKS, au-delà des clusters EKS standard, sont entièrement gérées via le rôle IAM du cluster plutôt que par des rôles de nœud individuels.

Intégration IAM et gestion des accès

Le mode automatique d'EKS fournit une intégration améliorée avec AWS Identity and Access Management (IAM) via EKS Access Entries et EKS Pod Identity.

Gestion de l'accès au cluster

Le mode automatique EKS apporte des améliorations à la gestion de l'accès aux clusters via l'API de gestion des accès aux clusters (CAM) :

  • Modes d'authentification standardisés via EKS_API

  • Sécurité renforcée grâce à une gestion des accès basée sur des API

  • Contrôle d'accès simplifié à l'aide des entrées d'accès et des politiques d'accès

Des entrées d'accès peuvent être créées pour gérer l'accès au cluster :

aws eks create-access-entry \
    --cluster-name ${EKS_CLUSTER_NAME} \
    --principal-arn arn:aws:iam::${ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
    --type STANDARD
Important

Bien qu'il soit toujours possible de créer un cluster en mode automatique EKS avec le mode CONFIG_MAP_AND_API d'authentification, il ne s'agit pas de l'approche standard et il est fortement recommandé d'utiliser le mode API d'authentification par défaut pour les nouveaux clusters. APIl'authentification basée sur l'authentification améliore la sécurité et simplifie la gestion des accès par rapport à ConfigMap l'approche traditionnelle.

Identité du pod EKS

Le mode automatique d'EKS est fourni avec l'agent d'identité Pod déjà déployé, ce qui permet d'accorder des autorisations AWS IAM aux pods de manière simplifiée :

  • Gestion simplifiée des autorisations IAM sans configuration du fournisseur OIDC

  • Frais d'exploitation réduits par rapport à l'IRSA

  • Sécurité améliorée grâce au balisage des sessions et à la prise en charge de l'ABAC

aws eks create-pod-identity-association \
  --cluster-name ${EKS_CLUSTER_NAME} \
  --role-arn arn:aws:iam::${AWS_ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
  --namespace ${NAMESPACE} \
  --service-account ${SERVICE_ACCOUNT_NAME}
Important

Pod Identity est l'approche recommandée pour les autorisations IAM en mode automatique d'EKS, car elle fournit des fonctionnalités de sécurité améliorées et une gestion simplifiée par rapport à l'IRSA.

Rôle IAM de nœud

Le mode automatique EKS utilise un nouveau mode AmazonEKSWorkerNodeMinimalPolicy qui fournit uniquement les autorisations nécessaires au fonctionnement des nœuds du mode automatique EKS. Ces autorisations :

  • Fournir un ensemble d'autorisations réduit par rapport aux politiques de nœud traditionnelles

  • Adhérer au principe du moindre privilège

  • Sont automatiquement gérés et mis à jour par AWS

Cette approche de politique minimale permet d'améliorer le niveau de sécurité en limitant les autorisations accordées au nœud et à ses charges de travail.

Sécurité des nœuds

Le mode automatique EKS introduit plusieurs améliorations de sécurité importantes au niveau du nœud :

Sécurité des instances gérées EC2

Les nœuds EKS Auto Mode utilisent des instances gérées Amazon EC2 dotées de propriétés de sécurité améliorées :

  • Restrictions imposées par l'IAM qui empêchent les opérations susceptibles de compromettre la capacité d'AWS à exploiter les nœuds

  • Modèles d'infrastructure immuables dans lesquels les modifications de configuration nécessitent le remplacement de nœuds

  • Remplacement obligatoire du nœud dans les 21 jours pour garantir des mises à jour de sécurité régulières

  • Accès restreint aux métadonnées de l'instance à l' IMDSv2 aide de limites de sauts contrôlées

Sécurité du système d'exploitation

Le système d'exploitation est une variante personnalisée de Bottlerocket, optimisée pour le mode automatique EKS, qui inclut :

  • Système de fichiers racine en lecture seule

  • SELinux activé par défaut avec des contrôles d'accès obligatoires

  • Isolation automatique du pod à l'aide d'étiquettes SELinux MCS uniques

  • Accès SSH désactivé et suppression des services inutiles

  • Correctifs de sécurité automatisés grâce à la rotation des nœuds

Sécurité des composants du nœud

Les composants du nœud sont configurés conformément aux meilleures pratiques de sécurité :

  • Kubelet configuré avec des valeurs par défaut sécurisées

  • Configuration renforcée du conteneur lors de l'exécution

  • Gestion et rotation automatisées des certificats

  • node-to-control-planeCommunication restreinte

Sécurité du réseau

Le mode automatique EKS met en œuvre plusieurs fonctionnalités de sécurité réseau pour garantir une communication sécurisée au sein du cluster et avec les ressources externes :

Politique du réseau VPC CNI

Le mode automatique d'EKS tire parti de la prise en charge native de la politique réseau Kubernetes du plug-in Amazon VPC CNI :

  • S'intègre à l'API Kubernetes Network Policy en amont

  • Permet un contrôle précis de la communication pod-to-pod

  • Supporte à la fois les règles d'entrée et de sortie

Pour activer la prise en charge des politiques réseau en mode automatique EKS, vous devez configurer le module complémentaire VPC CNI avec un manifeste. configMap Voici un exemple :

apiVersion: v1
kind: ConfigMap
metadata:
  name: amazon-vpc-cni
  namespace: kube-system
data:
  enable-network-policy: "true"

Il est également nécessaire de définir si le support de la politique réseau est configuré dans la classe Node, comme illustré ici :

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: example-node-class
spec:
  networkPolicy: DefaultAllow
  networkPolicyEventLogs: Enabled

Une fois activé, vous pouvez créer des politiques réseau pour contrôler le trafic :

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

Gestion améliorée de l'ENI

Le mode automatique EKS fournit une sécurité améliorée pour la gestion de l'Elastic Network Interface (ENI) :

  • Connexion et configuration ENI gérées par AWS

  • Séparation du trafic de contrôle du trafic de données

  • Gestion automatisée des adresses IP avec des privilèges réduits requis sur les nœuds

Sécurité du stockage

Le mode automatique EKS fournit des fonctionnalités de sécurité améliorées pour le stockage éphémère et persistant :

Stockage éphémère

  • Toutes les données écrites dans des volumes éphémères sont automatiquement cryptées

  • Utilise l'algorithme cryptographique AES-256 standard

  • Chiffrement et déchiffrement gérés de manière fluide par le service

Volumes EBS

  • Les volumes EBS root et de données sont toujours chiffrés

  • Les volumes sont configurés pour être supprimés à la fin de l'instance

  • Il existe une option permettant de spécifier des clés KMS personnalisées pour le chiffrement

Intégration EFS

  • Support pour le chiffrement en transit avec EFS

  • Chiffrement automatique au repos pour les systèmes de fichiers EFS

  • Intégration aux points d'accès EFS pour un contrôle d'accès amélioré

Important

Lorsque vous utilisez EFS avec le mode automatique EKS, assurez-vous que les paramètres de chiffrement appropriés sont configurés au niveau du système de fichiers EFS, car le mode automatique EKS ne gère pas directement le chiffrement EFS.

Surveillance et journalisation

Le mode automatique EKS fournit des fonctionnalités de surveillance et de journalisation améliorées pour vous aider à conserver une visibilité sur le niveau de sécurité et la santé opérationnelle de votre cluster.

Journalisation de plan de contrôle

Le mode automatique EKS conserve les mêmes fonctionnalités de journalisation sur le plan de contrôle que l'EKS standard, mais il active tous les journaux par défaut pour une surveillance améliorée.

  • Les journaux sont envoyés à Amazon CloudWatch Logs

  • Par défaut, le mode automatique d'EKS active tous les journaux du plan de contrôle : serveur d'API, audit, authentificateur, gestionnaire de contrôleurs et planificateur

  • Le mode automatique EKS permet une visibilité détaillée des opérations du cluster et des événements de sécurité

Important

La journalisation sur le plan de contrôle entraîne des coûts supplémentaires pour le stockage des journaux. CloudWatch Réfléchissez bien à votre stratégie de journalisation afin de trouver un équilibre entre les besoins de sécurité et la gestion des coûts.

Journalisation au niveau des nœuds

Le mode automatique EKS améliore la journalisation au niveau des nœuds :

  • Les journaux du système sont automatiquement collectés et sont accessibles via CloudWatch Logs

  • Les journaux des nœuds sont conservés même après la fermeture du nœud, ce qui facilite l'analyse après l'incident

  • Visibilité améliorée sur les événements de sécurité et les problèmes opérationnels au niveau des nœuds

GuardDuty Intégration avec Amazon

Les clusters EKS Auto Mode s'intègrent parfaitement à Amazon GuardDuty pour une meilleure détection des menaces. Ses caractéristiques sont les suivantes :

  • Numérisation automatique des journaux d'audit du plan de contrôle

  • Surveillance du temps d'exécution pouvant être activée pour la surveillance des charges de travail

  • Intégration aux GuardDuty résultats et aux mécanismes d'alerte existants

Pour activer la protection en mode automatique d'EKS sur Amazon GuardDuty pour les journaux d'audit Kubernetes, vous pouvez exécuter la commande suivante :

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{"Kubernetes":{"AuditLogs":{"Enable":true}}}'

GuardDuty Intégration à Amazon pour la sécurité des environnements d'exécution

Amazon GuardDuty fournit une surveillance essentielle de la sécurité d'exécution pour les clusters en mode automatique EKS, offrant des fonctionnalités complètes de détection des menaces et de surveillance de la sécurité. Cette intégration est particulièrement importante car elle permet d'identifier les menaces de sécurité potentielles et les activités malveillantes en temps réel.

GuardDuty Caractéristiques principales du mode automatique EKS

  • Surveillance du temps d'exécution :

    • Surveillance continue du comportement d'exécution

    • Détection d'activités malveillantes ou suspectes

    • Identification des tentatives d'évasion potentielles du conteneur

    • Surveillance de l'exécution inhabituelle des processus ou des connexions réseau

  • Détection des menaces spécifiques à Kubernetes :

    • Identification des tentatives suspectes de déploiement de pods

    • Détection des conteneurs endommagés

    • Surveillance des lancements de conteneurs privilégiés

    • Identification d'une utilisation suspecte du compte de service

  • Types de recherche complets :

    • Policy:Kubernetes/* - Détecte les violations des meilleures pratiques de sécurité

    • Impact:Kubernetes/* - Identifie les ressources potentiellement affectées

    • Discovery : Kubernetes/* - Détecte les activités de reconnaissance

    • Execution:Kubernetes/* - Identifie les modèles d'exécution suspects

    • Persistence:Kubernetes/* - Détecte les menaces persistantes potentielles

Pour activer la protection en mode automatique d'EKS sur Amazon GuardDuty pour les journaux d'audit Kubernetes et la surveillance du temps d'exécution, vous pouvez exécuter la commande suivante :

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{
        "Kubernetes": {
            "AuditLogs": {"Enable": true},
            "RuntimeMonitoring": {"Enable": true}
        }
    }'
Important

GuardDuty La surveillance du temps d'exécution est automatiquement prise en charge dans les clusters en mode automatique EKS, offrant une visibilité de sécurité améliorée sans configuration supplémentaire au niveau du nœud.

GuardDuty Intégration des résultats

GuardDuty les résultats peuvent être intégrés à d'autres services AWS pour une réponse automatique :

  • EventBridge Règles :

{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "type": ["Runtime:Container/*", "Runtime:Kubernetes/*"],
    "severity": [4, 5, 6, 7, 8]
  }
}

  • Intégration au Security Hub :

# Enable Security Hub integration
aws securityhub enable-security-hub \
    --enable-default-standards \
    --tags '{"Environment":"Production"}' \
    --region us-west-2
Bonnes pratiques pour le GuardDuty mode automatique d'EKS

  1. Activez tous les types de recherche :

    • Activez à la fois la surveillance du journal d'audit Kubernetes et la surveillance de l'exécution

    • Configurer les résultats pour tous les niveaux de gravité

  2. Mettre en œuvre une réponse automatisée :

    • Créez des EventBridge règles pour les résultats très graves

    • Intégrez AWS Security Hub pour une gestion centralisée de la sécurité

    • Configurez des actions de correction automatisées le cas échéant

  3. Révision et réglage réguliers :

    • Examiner régulièrement GuardDuty les résultats

    • Ajustez les seuils de détection en fonction de votre environnement

    • Mettre à jour les procédures de réponse en fonction des nouveaux types de résultats

  4. Gestion entre comptes :

    • Envisagez d'utiliser un compte GuardDuty administrateur pour une gestion centralisée

    • Permettre l'agrégation des résultats sur plusieurs comptes

Avertissement

Tout en GuardDuty fournissant une surveillance complète de la sécurité, elle doit faire partie d'une defense-in-depth stratégie incluant d'autres contrôles de sécurité tels que les politiques réseau, les normes de sécurité des pods et une configuration RBAC appropriée.

Questions fréquentes (FAQ)

Q : En quoi le mode automatique d'EKS diffère-t-il du mode EKS standard en termes de sécurité ? R : Le mode automatique d'EKS améliore la sécurité grâce aux instances gérées EC2, à l'application automatique de correctifs, à la rotation obligatoire des nœuds et aux contrôles de sécurité intégrés. Cela réduit les frais opérationnels tout en maintenant une solide posture de sécurité en permettant à AWS de gérer une plus grande partie des aspects liés à la sécurité.

Q : Puis-je toujours utiliser les outils et politiques de sécurité existants avec le mode automatique d'EKS ? R : Oui, le mode automatique d'EKS est compatible avec la plupart des outils et politiques de sécurité existants. Cependant, certains outils de sécurité au niveau des nœuds peuvent nécessiter une adaptation en raison de la nature gérée des nœuds EKS Auto Mode.

Q : Comment déployer des agents de sécurité et des outils de surveillance en mode automatique EKS ? R : En mode automatique d'EKS, les agents de sécurité et les outils de surveillance doivent être déployés sous forme de charges de travail Kubernetes (généralement DaemonSets, une instance du Pod est déployée par défaut sur chaque nœud) plutôt que d'être installés directement sur le système d'exploitation du nœud. Cette approche s'aligne sur le modèle d'infrastructure immuable d'EKS Auto Mode. Exemple :

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: security-agent
  namespace: security
spec:
  selector:
    matchLabels:
      app: security-agent
  template:
    metadata:
      labels:
        app: security-agent
    spec:
      containers:
      - name: security-agent
        image: security-vendor/agent:latest
        securityContext:
          privileged: false
          # Use specific capabilities instead of privileged mode
          capabilities:
            add: ["NET_ADMIN", "SYS_ADMIN"]

Q : Les solutions de sécurité tierces sont-elles compatibles avec le mode automatique EKS ? R : De nombreuses solutions de sécurité tierces populaires ont été mises à jour pour prendre en charge le mode automatique EKS, mais il est toujours recommandé de vérifier les exigences spécifiques en matière de version et de déploiement auprès de votre fournisseur de sécurité, car la prise en charge du mode automatique EKS peut nécessiter des versions mises à jour ou des configurations de déploiement spécifiques.

Q : Quelles sont les limites imposées aux agents de sécurité en mode automatique d'EKS ? R : Les principales limites sont les suivantes :

  • Aucun accès direct pour modifier le système d'exploitation du nœud

  • Aucune persistance entre les rotations de nœuds

  • Doit être compatible avec le déploiement basé sur des conteneurs

  • Nécessité de respecter l'immuabilité des nœuds

  • Peut nécessiter différentes configurations de privilèges

  • Toute modification persistante des nœuds doit être effectuée par le biais NodePools des NodeClasses ressources.

Note

Bien que le mode automatique d'EKS puisse nécessiter des ajustements de votre stratégie de déploiement d'outils de sécurité, ces modifications se traduisent souvent par des configurations plus faciles à maintenir et plus sécurisées, conformes aux meilleures pratiques natives du cloud. Le mode automatique d'EKS prévoit de prendre complètement en charge la plupart des fonctionnalités qu'il gère. Par conséquent, toutes les modifications manuelles que vous apportez à ces fonctionnalités, si vous pouvez y accéder, peuvent être annulées ou annulées par le mode automatique d'EKS.

Q : Puis-je utiliser le mode personnalisé AMIs avec le mode automatique EKS ? R : Pour le moment, le mode automatique d'EKS ne prend pas en charge la personnalisation AMIs. Cela est intentionnel, car AWS gère la sécurité, les correctifs et la maintenance des nœuds dans le cadre du modèle de responsabilité partagée. Les nœuds EKS Auto Mode utilisent une variante spécialisée de Bottlerocket optimisée et gérée par AWS.

Q : À quelle fréquence les nœuds sont-ils automatiquement pivotés en mode automatique EKS ? R : Les nœuds en mode automatique EKS ont une durée de vie maximale de 21 jours. Ils seront automatiquement remplacés avant cette limite, garantissant ainsi des mises à jour de sécurité régulières et l'application de correctifs.

Q : Puis-je me connecter par SSH aux nœuds du mode automatique d'EKS à des fins de dépannage ? R : Non, l'accès SSH direct n'est pas disponible en mode automatique d'EKS. Vous pouvez plutôt utiliser la définition de ressource NodeDiagnostic personnalisée (CRD) pour collecter les journaux du système et les informations de débogage.

Q : La prise en charge des politiques réseau est-elle activée par défaut en mode automatique d'EKS ? R : Pour le moment, la prise en charge de la politique réseau doit être explicitement activée via la configuration du module complémentaire VPC CNI. Une fois activée, vous pouvez utiliser les politiques réseau Kubernetes standard.

Q : Dois-je utiliser IRSA ou Pod Identity avec le mode automatique d'EKS ? R : Bien que les deux soient compatibles, Pod Identity est l'approche recommandée en mode automatique d'EKS, car elle inclut déjà le module complémentaire de l'agent Pod Identity Security et fournit des fonctionnalités de sécurité améliorées et une gestion simplifiée.

Q : Puis-je toujours utiliser l'aws-auth ConfigMap en mode automatique EKS ? R : aws-auth ConfigMap Il s'agit d'une fonctionnalité obsolète. Il est recommandé d'utiliser l'approche par défaut de l'authentification basée sur les API pour améliorer la sécurité et simplifier la gestion des accès.

Q : Comment puis-je surveiller les événements de sécurité en mode automatique EKS ? R : Le mode automatique EKS s'intègre à plusieurs solutions de surveillance GuardDuty, notamment CloudWatch, et CloudTrail. GuardDuty fournit une surveillance améliorée de la sécurité d'exécution spécifiquement pour les charges de travail EKS.

Q : Comment puis-je collecter les journaux à partir des nœuds du mode automatique EKS ? R : Utilisez le NodeDiagnostic CRD, qui télécharge automatiquement les journaux dans un compartiment S3. Vous pouvez également utiliser CloudWatch Container Insights et AWS Distro pour OpenTelemetry.

Note

Cette section FAQ est régulièrement mise à jour au fur et à mesure que de nouvelles fonctionnalités sont ajoutées au mode automatique d'EKS et que nous recevons des questions fréquentes de la part des clients.