Sécurité et authentification de l’API Sécurité du réseau Sécurité des instances EC2 gérées Gestion automatisée des ressources Bonnes pratiques de sécurité

Considérations de sécurité relatives au mode automatique Amazon EKS

Cette rubrique décrit l’architecture de sécurité, les mécanismes de contrôle et les meilleures pratiques appliqués dans le mode automatique Amazon EKS. À mesure que les organisations déploient des applications conteneurisées à grande échelle, le maintien d’une posture de sécurité solide devient de plus en plus complexe. Le mode automatique EKS met en œuvre des contrôles de sécurité automatisés et s’intègre aux services de sécurité AWS pour vous aider à protéger l’infrastructure de vos clusters, ainsi que vos charges de travail et vos données. Grâce à des fonctionnalités de sécurité intégrées, telles que la gestion obligatoire du cycle de vie des nœuds et le déploiement automatisé des correctifs, le mode automatique EKS vous aide à maintenir les meilleures pratiques de sécurité tout en réduisant la charge opérationnelle.

Avant d’aborder cette rubrique, assurez-vous d’être familier avec les concepts de base du mode automatique EKS et d’avoir consulté les prérequis pour l’activer sur vos clusters. Pour des informations générales sur la sécurité d’Amazon EKS, consultez Sécurité dans Amazon EKS.

Le mode automatique Amazon EKS repose sur les fondations de sécurité existantes d’Amazon EKS tout en introduisant des contrôles de sécurité automatisés supplémentaires pour les instances gérées EC2.

Sécurité et authentification de l’API

Le mode automatique Amazon EKS utilise les mécanismes de sécurité de la plateforme AWS afin de sécuriser et authentifier les appels à l’API Amazon EKS.

L’accès à l’API Kubernetes est protégé par des entrées d’accès EKS, qui s’intègrent aux identités IAM AWS.
- Pour de plus amples informations, consultez Attribution de l’accès Kubernetes aux utilisateurs IAM avec les entrées d’accès EKS.
Les clients peuvent mettre en œuvre un contrôle d’accès granulaire au point de terminaison de l’API Kubernetes grâce à la configuration des entrées d’accès EKS.

Sécurité du réseau

Le mode automatique Amazon EKS prend en charge plusieurs niveaux de sécurité réseau :

Intégration VPC
- Fonctionne au sein de votre Amazon Virtual Private Cloud (VPC)
- Prend en charge les configurations VPC personnalisées et les configurations de sous-réseaux
- Permet un réseau privé entre les composants du cluster
- Pour plus d’informations, consultez la section Gestion des responsabilités en matière de sécurité pour Amazon Virtual Private Cloud
Politiques réseau
- Prise en charge native des politiques réseau Kubernetes
- Possibilité de définir des règles de trafic réseau granulaires
- Pour plus d’informations, consultez Limitation du trafic des pods à l’aide des politiques réseau Kubernetes.

Sécurité des instances EC2 gérées

Le mode automatique Amazon EKS exploite des instances EC2 gérées avec les contrôles de sécurité suivants :

Sécurité EC2

Les instances gérées EC2 conservent les fonctionnalités de sécurité d’Amazon EC2.
Pour plus d’informations sur les instances gérées EC2, consultez la section Sécurité dans Amazon EC2.

Gestion du cycle de vie des instances

Les instances gérées EC2 exploitées par le mode automatique EKS ont une durée de vie maximale de 21 jours. Le mode automatique Amazon EKS met automatiquement fin aux instances qui dépassent cette durée. Cette limite de cycle de vie permet d’éviter toute dérive de configuration et de maintenir une posture de sécurité solide.

Protection des données

Le stockage des instances Amazon EC2 est chiffré. Il s’agit d’un stockage directement connecté à l’instance. Pour de plus amples informations, consultez la section Protection des données dans Amazon EC2.
Le mode automatique EKS gère les volumes rattachés aux instances EC2 au moment de leur création, y compris les volumes racine et les volumes de données. Le mode automatique EKS ne gère pas entièrement les volumes EBS créés via les fonctionnalités de stockage persistant de Kubernetes.

Gestion des correctifs

Le mode automatique Amazon EKS applique automatiquement les correctifs aux instances gérées.
Les correctifs incluent :
- Mises à jour du système d'exploitation
- Correctifs de sécurité
- Composants du mode automatique Amazon EKS

Note

Les clients retiennent la responsabilité de la sécurisation et de la mise à jour des charges de travail exécutées sur ces instances.

Contrôles d’accès

L’accès direct aux instances est restreint :
- L’accès SSH n’est pas disponible.
- L’accès via le gestionnaire de session (SSM) d’AWS Systems Manager n’est pas disponible.
Les opérations de gestion sont effectuées via l’API Amazon EKS et l’API Kubernetes.

Gestion automatisée des ressources

Le mode automatique Amazon EKS ne gère pas entièrement les volumes Amazon Elastic Block Store (Amazon EBS) créés à l’aide des fonctionnalités de stockage persistant Kubernetes. Le mode automatique EKS ne gère pas non plus les équilibreurs de charge Elastic Load Balancer (ELB). Cependant, le mode automatique Amazon EKS automatise les tâches courantes liées à ces ressources.

Sécurité du stockage

AWS recommande d’activer le chiffrement pour les volumes EBS provisionnés à l’aide des fonctionnalités de stockage persistant de Kubernetes. Pour de plus amples informations, consultez Création d’une classe de stockage.
Chiffrement au repos à l’aide d’AWS KMS
Vous pouvez configurer votre compte AWS pour imposer le chiffrement des nouveaux volumes EBS et des copies d’instantané que vous créez. Pour plus d’informations, consultez Activation du chiffrement Amazon EBS par défaut dans le Guide de l’utilisateur Amazon EBS.
Pour plus d’informations, consultez Sécurité dans Amazon EBS.

Sécurité des équilibreurs de charge

Configuration automatisée des équilibreurs de charge Elastic Load Balancer
Gestion des certificats SSL/TLS par intégration à AWS Certificate Manager
Automatisation des groupes de sécurité pour le contrôle d’accès aux équilibreurs de charge
Pour plus d’informations, consultez Sécurité dans Elastic Load Balancing.

Bonnes pratiques de sécurité

La section suivante décrit les bonnes pratiques en matière de sécurité pour le mode automatique Amazon EKS.

Passez régulièrement en revue les politiques IAM AWS et les entrées d’accès EKS.
Mettez en œuvre le principe du moindre privilège pour les charges de travail.
Surveillez l’activité du cluster via AWS CloudTrail et Amazon CloudWatch. Pour plus d’informations, consultez Journaliser les appels d’API en tant qu’événements AWS CloudTrail et Surveillance des données du cluster avec Amazon CloudWatch.
Utilisez AWS Security Hub pour évaluer le niveau de sécurité.
Mettez en œuvre des normes de sécurité des pods adaptées aux charges de travail.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement d’enveloppe par défaut pour toutes les données de l’API Kubernetes

Référence IAM