Mode Otomatis EKS - Keamanan - Amazon EKS
Arsitektur KeamananPertanyaan yang Sering Diajukan (FAQ)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mode Otomatis EKS - Keamanan

Tip

Jelajahi praktik terbaik melalui lokakarya Amazon EKS.

Amazon EKS Auto Mode memperkenalkan kemampuan keamanan yang ditingkatkan dengan memperluas manajemen keamanan AWS di luar bidang kontrol untuk menyertakan node pekerja dan komponen cluster inti. Model keamanan komprehensif ini membantu organisasi mempertahankan postur keamanan yang kuat sekaligus mengurangi overhead operasional.

Model Tanggung Jawab Bersama - Mode Otomatis EKS

Model Tanggung Jawab Bersama - Mode Otomatis Amazon EKS

Peningkatan keamanan utama dalam Mode Otomatis EKS meliputi:

  • OS minimal yang dioptimalkan kontainer dengan permukaan serangan yang dikurangi

  • Praktik terbaik keamanan yang diberlakukan melalui Instans Terkelola EC2

  • Manajemen patch keamanan otomatis dengan rotasi Node wajib

  • Isolasi simpul bawaan dan batas keamanan

  • Integrasi IAM yang efisien dengan izin minimal yang diperlukan

Mode Otomatis EKS memberlakukan kontrol keamanan ini secara default, membantu organisasi memenuhi persyaratan keamanan dan kepatuhan mereka sambil menyederhanakan operasi klaster. Pendekatan ini selaras dengan defense-in-depth prinsip, menyediakan beberapa lapisan kontrol keamanan di tingkat infrastruktur, node, dan beban kerja.

penting

Sementara Mode Otomatis EKS menyediakan kemampuan keamanan yang ditingkatkan, organisasi harus tetap menerapkan kontrol keamanan yang sesuai di lapisan aplikasi dan mengikuti praktik terbaik keamanan untuk beban kerja mereka yang berjalan di cluster.

Arsitektur Keamanan

Mode Otomatis EKS mengimplementasikan kontrol keamanan di beberapa lapisan infrastruktur EKS, dari bidang kontrol hingga node individual. Memahami arsitektur ini sangat penting untuk mengelola dan mengamankan cluster EKS Anda secara efektif.

Kontrol Keamanan Pesawat

Pesawat kontrol EKS dalam Mode Otomatis EKS mempertahankan standar keamanan tinggi yang sama dengan cluster EKS tradisional sambil menambahkan kemampuan keamanan baru:

  • Enkripsi Amplop: Semua data API Kubernetes dienkripsi secara otomatis menggunakan enkripsi amplop.

  • Integrasi KMS: Menggunakan AWS KMS dengan penyedia Kubernetes KMS v2, dengan opsi untuk kunci milik AWS atau kunci yang dikelola pelanggan (CMK).

  • Manajemen Komponen yang Ditingkatkan: Komponen penting seperti auto-scaling, manajemen ENI, dan pengontrol EBS dipindahkan ke luar cluster dan dikelola oleh AWS.

  • Peningkatan Kontrol Keamanan dan Kemampuan Audit: Izin yang diperlukan Mode Otomatis EKS, di luar kluster EKS standar, dikelola sepenuhnya melalui peran IAM cluster daripada peran node individual.

Integrasi IAM dan Manajemen Akses

EKS Auto Mode menyediakan integrasi yang disempurnakan dengan AWS Identity and Access Management (IAM) melalui EKS Access Entries dan EKS Pod Identity.

Manajemen Akses Cluster

EKS Auto Mode memperkenalkan peningkatan pada manajemen akses cluster melalui Cluster Access Management (CAM) API:

  • Mode otentikasi standar melalui EKS_API

  • Peningkatan keamanan melalui manajemen akses berbasis API

  • Kontrol akses yang disederhanakan menggunakan Entri Akses dan Kebijakan Akses

Entri Akses dapat dibuat untuk mengelola akses klaster:

aws eks create-access-entry \
    --cluster-name ${EKS_CLUSTER_NAME} \
    --principal-arn arn:aws:iam::${ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
    --type STANDARD
penting

Meskipun masih memungkinkan untuk membuat kluster Mode Otomatis EKS dengan mode CONFIG_MAP_AND_API otentikasi, ini bukan pendekatan standar, dan sangat disarankan untuk menggunakan mode API otentikasi default untuk cluster baru. APIotentikasi berbasis memberikan keamanan yang ditingkatkan dan manajemen akses yang disederhanakan dibandingkan dengan pendekatan ConfigMap berbasis warisan.

Identitas Pod EKS

EKS Auto Mode hadir dengan Pod Identity Agent yang sudah di-deploy, memungkinkan cara yang efisien untuk memberikan izin AWS IAM ke Pod:

  • Manajemen izin IAM yang disederhanakan tanpa konfigurasi penyedia OIDC

  • Mengurangi overhead operasional dibandingkan dengan IRSA

  • Keamanan yang ditingkatkan melalui penandaan sesi dan dukungan ABAC

aws eks create-pod-identity-association \
  --cluster-name ${EKS_CLUSTER_NAME} \
  --role-arn arn:aws:iam::${AWS_ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
  --namespace ${NAMESPACE} \
  --service-account ${SERVICE_ACCOUNT_NAME}
penting

Pod Identity adalah pendekatan yang direkomendasikan untuk izin IAM dalam Mode Otomatis EKS karena menyediakan fitur keamanan yang disempurnakan dan manajemen yang disederhanakan dibandingkan dengan IRSA.

Peran IAM Node

Mode Otomatis EKS menggunakan yang baru AmazonEKSWorkerNodeMinimalPolicy yang hanya menyediakan izin yang diperlukan untuk node Mode Otomatis EKS untuk beroperasi. Izin tersebut:

  • Berikan serangkaian izin yang dikurangi dibandingkan dengan kebijakan node tradisional

  • Patuhi prinsip hak istimewa paling sedikit

  • Dikelola dan diperbarui secara otomatis oleh AWS

Pendekatan kebijakan minimal ini membantu meningkatkan postur keamanan dengan membatasi izin yang tersedia untuk node dan beban kerjanya.

Keamanan Node

Mode Otomatis EKS memperkenalkan beberapa peningkatan keamanan yang signifikan di tingkat node:

Keamanan Instans Terkelola EC2

Node Mode Otomatis EKS menggunakan Instans Terkelola Amazon EC2 dengan properti keamanan yang disempurnakan:

  • Pembatasan yang diberlakukan oleh IAM yang mencegah operasi yang dapat membahayakan kemampuan AWS untuk mengoperasikan node

  • Pola infrastruktur yang tidak dapat diubah di mana perubahan konfigurasi memerlukan penggantian node

  • Penggantian node wajib dalam waktu 21 hari untuk memastikan pembaruan keamanan reguler

  • Akses terbatas ke metadata instance menggunakan IMDSv2 dengan batas hop terkontrol

Keamanan Sistem Operasi

Sistem operasi adalah varian khusus dari Bottlerocket, dioptimalkan untuk Mode Otomatis EKS, yang meliputi:

  • Sistem file root hanya-baca

  • SELinux diaktifkan secara default dengan kontrol akses wajib

  • Isolasi Pod otomatis menggunakan label SELinux MCS unik

  • Akses SSH yang dinonaktifkan dan penghapusan layanan yang tidak perlu

  • Patch keamanan otomatis melalui rotasi node

Keamanan Komponen Node

Komponen node dikonfigurasi dengan praktik terbaik keamanan:

  • Kubelet dikonfigurasi dengan default yang aman

  • Konfigurasi pengerasan runtime kontainer

  • Manajemen dan rotasi sertifikat otomatis

  • node-to-control-planeKomunikasi terbatas

Keamanan Jaringan

Mode Otomatis EKS mengimplementasikan beberapa fitur keamanan jaringan untuk memastikan komunikasi yang aman di dalam cluster dan dengan sumber daya eksternal:

Kebijakan Jaringan VPC CNI

Mode Otomatis EKS memanfaatkan dukungan Kebijakan Jaringan Kubernetes asli dari Plugin CNI Amazon VPC VPC:

  • Terintegrasi dengan API Kebijakan Jaringan Kubernetes hulu

  • Memungkinkan kontrol halus atas komunikasi pod-to-pod

  • Mendukung aturan masuk dan keluar

Untuk mengaktifkan dukungan kebijakan jaringan dalam Mode Otomatis EKS, Anda perlu mengonfigurasi add-on VPC CNI dengan manifes. configMap Inilah contohnya:

apiVersion: v1
kind: ConfigMap
metadata:
  name: amazon-vpc-cni
  namespace: kube-system
data:
  enable-network-policy: "true"

Ini juga diperlukan untuk menentukan dukungan Kebijakan Jaringan dikonfigurasi di Kelas Node, seperti yang diilustrasikan di sini:

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: example-node-class
spec:
  networkPolicy: DefaultAllow
  networkPolicyEventLogs: Enabled

Setelah diaktifkan, Anda dapat membuat kebijakan jaringan untuk mengontrol lalu lintas:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

Manajemen ENI yang Ditingkatkan

Mode Otomatis EKS memberikan peningkatan keamanan untuk manajemen Elastic Network Interface (ENI):

  • Lampiran dan konfigurasi ENI yang dikelola AWS

  • Pemisahan lalu lintas kontrol dari lalu lintas data

  • Manajemen alamat IP otomatis dengan pengurangan hak istimewa yang diperlukan pada node

Keamanan Penyimpanan

Mode Otomatis EKS menyediakan fitur keamanan yang disempurnakan untuk penyimpanan sementara dan persisten:

Penyimpanan Ephemeral

  • Semua data yang ditulis ke volume fana secara otomatis dienkripsi

  • Menggunakan algoritma kriptografi AES-256 standar industri

  • Enkripsi dan dekripsi ditangani dengan mulus oleh layanan

Volume EBS

  • Volume root dan data EBS selalu dienkripsi

  • Volume dikonfigurasi untuk dihapus setelah penghentian instance

  • Ada opsi untuk menentukan kunci KMS khusus untuk enkripsi

Integrasi EFS

  • Support untuk enkripsi dalam perjalanan dengan EFS

  • Enkripsi otomatis saat istirahat untuk sistem file EFS

  • Integrasi dengan titik akses EFS untuk kontrol akses yang ditingkatkan

penting

Saat menggunakan EFS dengan Mode Otomatis EKS, pastikan bahwa pengaturan enkripsi yang sesuai dikonfigurasi pada tingkat sistem file EFS, karena Mode Otomatis EKS tidak mengelola enkripsi EFS secara langsung.

Pemantauan dan Pencatatan

Mode Otomatis EKS menyediakan kemampuan pemantauan dan pencatatan yang disempurnakan untuk membantu Anda mempertahankan visibilitas ke postur keamanan klaster dan kesehatan operasional Anda.

Kontrol Pencatatan Pesawat

Mode Otomatis EKS mempertahankan kemampuan logging bidang kontrol yang sama dengan EKS standar, namun memungkinkan semua log secara default untuk pemantauan yang ditingkatkan.

  • Log dikirim ke Amazon CloudWatch Logs

  • Secara default, Mode Otomatis EKS memungkinkan semua log bidang kontrol: server API, audit, autentikator, manajer pengontrol, dan penjadwal

  • Mode Otomatis EKS memungkinkan visibilitas terperinci ke dalam operasi klaster dan peristiwa keamanan

penting

Kontrol logging pesawat menimbulkan biaya tambahan untuk penyimpanan log di. CloudWatch Pertimbangkan strategi pencatatan Anda dengan hati-hati untuk menyeimbangkan kebutuhan keamanan dengan manajemen biaya.

Pencatatan Tingkat Simpul

Mode Otomatis EKS meningkatkan pencatatan tingkat simpul:

  • Log sistem dikumpulkan secara otomatis dan dapat diakses melalui CloudWatch Log

  • Log node dipertahankan bahkan setelah penghentian node, membantu dalam analisis pasca-insiden

  • Peningkatan visibilitas ke dalam peristiwa keamanan tingkat simpul dan masalah operasional

GuardDuty Integrasi Amazon

Kluster Mode Otomatis EKS terintegrasi secara mulus dengan Amazon GuardDuty untuk deteksi ancaman yang ditingkatkan. Fitur meliputi:

  • Pemindaian otomatis untuk log audit bidang kontrol

  • Pemantauan runtime yang dapat diaktifkan untuk pemantauan beban kerja

  • Integrasi dengan GuardDuty temuan yang ada dan mekanisme peringatan

Untuk mengaktifkan perlindungan Mode Otomatis EKS di Amazon GuardDuty untuk Kubernetes Audit Logs, Anda dapat menjalankan perintah berikut:

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{"Kubernetes":{"AuditLogs":{"Enable":true}}}'

GuardDuty Integrasi Amazon untuk Keamanan Runtime

Amazon GuardDuty menyediakan pemantauan keamanan runtime penting untuk kluster Mode Otomatis EKS, menawarkan kemampuan deteksi ancaman dan pemantauan keamanan yang komprehensif. Integrasi ini sangat penting karena membantu mengidentifikasi potensi ancaman keamanan dan aktivitas berbahaya secara real-time.

GuardDuty Fitur Utama untuk Mode Otomatis EKS

  • Pemantauan Runtime:

    • Pemantauan perilaku runtime secara terus menerus

    • Deteksi aktivitas berbahaya atau mencurigakan

    • Identifikasi upaya pelarian kontainer potensial

    • Pemantauan eksekusi proses yang tidak biasa atau koneksi jaringan

  • Deteksi Ancaman Khusus Kubernetes:

    • Identifikasi upaya penyebaran pod yang mencurigakan

    • Deteksi wadah yang dikompromikan

    • Pemantauan peluncuran kontainer istimewa

    • Identifikasi penggunaan akun layanan yang mencurigakan

  • Jenis Temuan Komprehensif:

    • Policy:Kubernetes/* - Mendeteksi pelanggaran praktik terbaik keamanan

    • Dampak: Kubernetes/* - Mengidentifikasi sumber daya yang berpotensi terkena dampak

    • Discovery:Kubernetes/* - Mendeteksi aktivitas pengintaian

    • Eksekusi:Kubernetes/* - Mengidentifikasi pola eksekusi yang mencurigakan

    • Persistence:Kubernetes/* - Mendeteksi potensi ancaman persisten

Untuk mengaktifkan perlindungan Mode Otomatis EKS di Amazon GuardDuty untuk Kubernetes Audit Logs dan Runtime Monitoring, Anda dapat menjalankan perintah berikut:

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{
        "Kubernetes": {
            "AuditLogs": {"Enable": true},
            "RuntimeMonitoring": {"Enable": true}
        }
    }'
penting

GuardDuty Runtime Monitoring secara otomatis didukung di kluster Mode Otomatis EKS, memberikan visibilitas keamanan yang ditingkatkan tanpa konfigurasi tambahan di tingkat node.

GuardDuty Integrasi Temuan

GuardDuty temuan dapat diintegrasikan dengan layanan AWS lainnya untuk respons otomatis:

  • EventBridge Aturan:

{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "type": ["Runtime:Container/*", "Runtime:Kubernetes/*"],
    "severity": [4, 5, 6, 7, 8]
  }
}

  • Integrasi Security Hub:

# Enable Security Hub integration
aws securityhub enable-security-hub \
    --enable-default-standards \
    --tags '{"Environment":"Production"}' \
    --region us-west-2
Praktik Terbaik untuk GuardDuty Mode Otomatis EKS

  1. Aktifkan Semua Jenis Penemuan:

    • Aktifkan pemantauan log audit Kubernetes dan pemantauan runtime

    • Konfigurasikan temuan untuk semua tingkat keparahan

  2. Menerapkan Respon Otomatis:

    • Buat EventBridge aturan untuk temuan tingkat keparahan tinggi

    • Integrasikan dengan AWS Security Hub untuk manajemen keamanan terpusat

    • Mengatur tindakan remediasi otomatis jika sesuai

  3. Ulasan dan Penyetelan Reguler:

    • Tinjau GuardDuty temuan secara teratur

    • Menyetel ambang deteksi berdasarkan lingkungan Anda

    • Perbarui prosedur respons berdasarkan jenis temuan baru

  4. Manajemen Lintas Akun:

    • Pertimbangkan untuk menggunakan akun GuardDuty administrator untuk manajemen terpusat

    • Aktifkan agregasi temuan di beberapa akun

Awas

Meskipun GuardDuty menyediakan pemantauan keamanan yang komprehensif, itu harus menjadi bagian dari defense-in-depth strategi yang mencakup kontrol keamanan lainnya seperti Kebijakan Jaringan, Standar Keamanan Pod, dan konfigurasi RBAC yang tepat.

Pertanyaan yang Sering Diajukan (FAQ)

T: Apa perbedaan Mode Otomatis EKS dari EKS standar dalam hal keamanan? J: Mode Otomatis EKS memberikan keamanan yang ditingkatkan melalui Instans Terkelola EC2, penambalan otomatis, rotasi node wajib, dan kontrol keamanan bawaan. Ini mengurangi overhead operasional sambil mempertahankan postur keamanan yang kuat dengan meminta AWS mengelola lebih banyak aspek keamanan.

T: Apakah saya masih dapat menggunakan alat dan kebijakan keamanan yang ada dengan Mode Otomatis EKS? J: Ya, Mode Otomatis EKS kompatibel dengan sebagian besar alat dan kebijakan keamanan yang ada. Namun, beberapa alat keamanan tingkat simpul mungkin memerlukan adaptasi karena sifat node Mode Otomatis EKS yang dikelola.

T: Bagaimana cara menggunakan agen keamanan dan alat pemantauan dalam Mode Otomatis EKS? A: Dalam Mode Otomatis EKS, agen keamanan dan alat pemantauan harus digunakan sebagai beban kerja Kubernetes (biasanya DaemonSets, yang menyebarkan satu instance Pod pada setiap node secara default) daripada diinstal langsung pada OS node. Pendekatan ini sejalan dengan model infrastruktur yang tidak dapat diubah dari Mode Otomatis EKS. Contoh:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: security-agent
  namespace: security
spec:
  selector:
    matchLabels:
      app: security-agent
  template:
    metadata:
      labels:
        app: security-agent
    spec:
      containers:
      - name: security-agent
        image: security-vendor/agent:latest
        securityContext:
          privileged: false
          # Use specific capabilities instead of privileged mode
          capabilities:
            add: ["NET_ADMIN", "SYS_ADMIN"]

T: Apakah solusi keamanan pihak ketiga kompatibel dengan Mode Otomatis EKS? J: Banyak solusi keamanan pihak ketiga yang populer telah diperbarui untuk mendukung Mode Otomatis EKS, namun selalu disarankan untuk memverifikasi versi spesifik dan persyaratan penerapan dengan vendor keamanan Anda, karena dukungan untuk Mode Otomatis EKS mungkin memerlukan versi terbaru atau konfigurasi penerapan tertentu.

T: Apa batasan untuk agen keamanan dalam Mode Otomatis EKS? A: Keterbatasan utama meliputi:

  • Tidak ada akses langsung untuk memodifikasi sistem operasi node

  • Tidak ada persistensi di seluruh rotasi simpul

  • Harus kompatibel dengan penerapan berbasis kontainer

  • Perlu menghormati kekekalan simpul

  • Mungkin memerlukan konfigurasi hak istimewa yang berbeda

  • Setiap perubahan persisten pada Node, harus dilakukan melalui NodePools dan NodeClasses sumber daya.

catatan

Meskipun Mode Otomatis EKS mungkin memerlukan penyesuaian pada strategi penerapan alat keamanan Anda, perubahan ini sering kali menghasilkan konfigurasi yang lebih dapat dipelihara dan aman yang selaras dengan praktik terbaik cloud-native. Mode Otomatis EKS mengharapkan untuk sepenuhnya mengambil alih sebagian besar fitur yang dikelolanya. Oleh karena itu, setiap perubahan manual yang Anda buat pada fitur-fitur tersebut, jika Anda bisa mendapatkannya, dapat ditimpa atau dibuang oleh Mode Otomatis EKS.

T: Dapatkah saya menggunakan kustom AMIs dengan Mode Otomatis EKS? J: Saat ini, Mode Otomatis EKS tidak mendukung kustom AMIs. Ini dirancang karena AWS mengelola keamanan, penambalan, dan pemeliharaan node sebagai bagian dari model tanggung jawab bersama. Node Mode Otomatis EKS menggunakan varian khusus Bottlerocket yang dioptimalkan dan dikelola oleh AWS.

T: Seberapa sering node diputar secara otomatis dalam Mode Otomatis EKS? A: Node dalam Mode Otomatis EKS memiliki masa pakai maksimum 21 hari. Mereka akan diganti secara otomatis sebelum batas ini, memastikan pembaruan keamanan reguler dan aplikasi patch.

T: Dapatkah saya SSH ke node Mode Otomatis EKS untuk pemecahan masalah? J: Tidak, akses SSH langsung tidak tersedia dalam Mode Otomatis EKS. Sebagai gantinya, Anda dapat menggunakan Definisi Sumber Daya NodeDiagnostic Kustom (CRD) untuk mengumpulkan log sistem dan informasi debugging.

T: Apakah dukungan Kebijakan Jaringan diaktifkan secara default dalam Mode Otomatis EKS? J: Untuk saat ini, dukungan Kebijakan Jaringan perlu diaktifkan secara eksplisit melalui konfigurasi add-on VPC CNI. Setelah diaktifkan, Anda dapat menggunakan Kebijakan Jaringan Kubernetes standar.

T: Haruskah saya menggunakan IRSA atau Pod Identity dengan Mode Otomatis EKS? J: Meskipun keduanya didukung, Pod Identity adalah pendekatan yang direkomendasikan dalam Mode Otomatis EKS karena sudah menyertakan add-on agen Pod Identity Security dan menyediakan fitur keamanan yang disempurnakan dan manajemen yang disederhanakan.

T: Apakah saya masih dapat menggunakan aws-auth ConfigMap dalam Mode Otomatis EKS? A: aws-auth ConfigMap Ini adalah fitur usang. Disarankan untuk menggunakan pendekatan default otentikasi berbasis API untuk keamanan yang ditingkatkan dan manajemen akses yang disederhanakan.

T: Bagaimana cara memantau peristiwa keamanan dalam Mode Otomatis EKS? A: Mode Otomatis EKS terintegrasi dengan beberapa solusi pemantauan termasuk GuardDuty, CloudWatch, dan CloudTrail. GuardDuty menyediakan pemantauan keamanan runtime yang ditingkatkan khusus untuk beban kerja EKS.

T: Bagaimana cara mengumpulkan log dari node Mode Otomatis EKS? J: Gunakan NodeDiagnostic CRD, yang secara otomatis mengunggah log ke bucket S3. Anda juga dapat menggunakan CloudWatch Container Insights dan AWS Distro untuk. OpenTelemetry

catatan

Bagian FAQ ini diperbarui secara berkala karena fitur baru ditambahkan ke Mode Otomatis EKS dan saat kami menerima pertanyaan umum dari pelanggan.