Modalità automatica EKS - Sicurezza - Amazon EKS
Architettura di sicurezzaDomande frequenti (FAQ)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modalità automatica EKS - Sicurezza

Suggerimento

Esplora le best practice tramite i workshop Amazon EKS.

La modalità automatica di Amazon EKS introduce funzionalità di sicurezza avanzate estendendo la gestione della sicurezza di AWS oltre il piano di controllo per includere nodi di lavoro e componenti principali del cluster. Questo modello di sicurezza completo aiuta le organizzazioni a mantenere una solida posizione di sicurezza riducendo al contempo il sovraccarico operativo.

Modello di responsabilità condivisa - EKS Auto Mode

Modello di responsabilità condivisa - Amazon EKS Auto Mode

I principali miglioramenti della sicurezza in modalità automatica EKS includono:

  • Sistema operativo minimale ottimizzato per i container con superficie di attacco ridotta

  • Best practice di sicurezza applicate tramite EC2 Managed Instances

  • Gestione automatizzata delle patch di sicurezza con rotazione obbligatoria dei nodi

  • Isolamento dei nodi e limiti di sicurezza integrati

  • Integrazione IAM semplificata con autorizzazioni minime richieste

EKS Auto Mode applica questi controlli di sicurezza per impostazione predefinita, aiutando le organizzazioni a soddisfare i propri requisiti di sicurezza e conformità semplificando al contempo le operazioni del cluster. Questo approccio è in linea con defense-in-depth i principi e fornisce più livelli di controlli di sicurezza a livello di infrastruttura, nodo e carico di lavoro.

Importante

Sebbene EKS Auto Mode offra funzionalità di sicurezza avanzate, le organizzazioni devono comunque implementare controlli di sicurezza appropriati a livello di applicazione e seguire le migliori pratiche di sicurezza per i carichi di lavoro in esecuzione sul cluster.

Architettura di sicurezza

EKS Auto Mode implementa i controlli di sicurezza su più livelli dell'infrastruttura EKS, dal piano di controllo ai singoli nodi. La comprensione di questa architettura è fondamentale per gestire e proteggere efficacemente i cluster EKS.

Control Plane Security

Il piano di controllo EKS in modalità EKS Auto mantiene gli stessi elevati standard di sicurezza dei cluster EKS tradizionali, aggiungendo al contempo nuove funzionalità di sicurezza:

  • Envelope Envelope: tutti i dati dell'API Kubernetes vengono crittografati automaticamente utilizzando la crittografia a busta.

  • Integrazione KMS: utilizza AWS KMS con il provider Kubernetes KMS v2, con opzioni per chiavi di proprietà di AWS o chiavi gestite dal cliente (CMK).

  • Gestione avanzata dei componenti: i componenti critici come l'auto-scaling, la gestione ENI e i controller EBS vengono spostati all'esterno del cluster e gestiti da AWS.

  • Controlli di sicurezza e funzionalità di audit migliorati: le autorizzazioni richieste da EKS Auto Mode, oltre ai cluster EKS standard, sono completamente gestite tramite il ruolo IAM del cluster anziché i ruoli dei singoli nodi.

Integrazione IAM e gestione degli accessi

EKS Auto Mode offre un'integrazione migliorata con AWS Identity and Access Management (IAM) tramite EKS Access Entries e EKS Pod Identity.

Gestione degli accessi ai cluster

EKS Auto Mode introduce miglioramenti alla gestione degli accessi ai cluster tramite l'API Cluster Access Management (CAM):

  • Modalità di autenticazione standardizzate tramite EKS_API

  • Sicurezza migliorata grazie alla gestione degli accessi basata su API

  • Controllo semplificato degli accessi tramite Access Entries e Access Policies

È possibile creare voci di accesso per gestire l'accesso al cluster:

aws eks create-access-entry \
    --cluster-name ${EKS_CLUSTER_NAME} \
    --principal-arn arn:aws:iam::${ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
    --type STANDARD
Importante

Sebbene sia ancora possibile creare un cluster EKS Auto Mode con modalità di CONFIG_MAP_AND_API autenticazione, questo non è l'approccio standard e si consiglia vivamente di utilizzare la modalità di API autenticazione predefinita per i nuovi cluster. APIl'autenticazione basata offre una maggiore sicurezza e una gestione semplificata degli accessi rispetto all'approccio ConfigMap basato sulle versioni precedenti.

EKS Pod Identity

EKS Auto Mode viene fornito con Pod Identity Agent già distribuito, che consente un modo semplificato per concedere le autorizzazioni AWS IAM ai pod:

  • Gestione semplificata delle autorizzazioni IAM senza configurazione del provider OIDC

  • Sovraccarico operativo ridotto rispetto a IRSA

  • Sicurezza migliorata grazie alla codifica delle sessioni e al supporto ABAC

aws eks create-pod-identity-association \
  --cluster-name ${EKS_CLUSTER_NAME} \
  --role-arn arn:aws:iam::${AWS_ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
  --namespace ${NAMESPACE} \
  --service-account ${SERVICE_ACCOUNT_NAME}
Importante

Pod Identity è l'approccio consigliato per le autorizzazioni IAM in modalità EKS Auto in quanto offre funzionalità di sicurezza avanzate e una gestione semplificata rispetto a IRSA.

Ruolo IAM del nodo

EKS Auto Mode utilizza una nuova modalità AmazonEKSWorkerNodeMinimalPolicy che fornisce solo le autorizzazioni necessarie per il funzionamento dei nodi EKS Auto Mode. Queste autorizzazioni:

  • Fornisci un set ridotto di autorizzazioni rispetto alle politiche tradizionali dei nodi

  • Rispetta il principio del privilegio minimo

  • Sono gestiti e aggiornati automaticamente da AWS

Questo approccio politico minimale aiuta a migliorare il livello di sicurezza limitando le autorizzazioni disponibili per il nodo e i relativi carichi di lavoro.

Sicurezza dei nodi

EKS Auto Mode introduce diversi miglioramenti significativi della sicurezza a livello di nodo:

Sicurezza delle istanze gestite EC2

I nodi EKS Auto Mode utilizzano istanze gestite Amazon EC2 con proprietà di sicurezza avanzate:

  • Restrizioni imposte da IAM che impediscono operazioni che potrebbero compromettere la capacità di AWS di gestire i nodi

  • Modelli di infrastruttura immutabili in cui le modifiche alla configurazione richiedono la sostituzione dei nodi

  • Sostituzione obbligatoria dei nodi entro 21 giorni per garantire aggiornamenti di sicurezza regolari

  • Accesso limitato ai metadati dell'istanza utilizzando limiti IMDSv2 di hop controllati

Sicurezza del sistema operativo

Il sistema operativo è una variante personalizzata di Bottlerocket, ottimizzata per EKS Auto Mode, che include:

  • Filesystem root di sola lettura

  • SELinux abilitato di default con controlli di accesso obbligatori

  • Isolamento automatico dei Pod mediante etichette SELinux MCS uniche

  • Accesso SSH disabilitato e rimozione di servizi non necessari

  • Patch di sicurezza automatizzate tramite rotazione dei nodi

Sicurezza dei componenti del nodo

I componenti del nodo sono configurati secondo le migliori pratiche di sicurezza:

  • Kubelet è configurato con impostazioni predefinite sicure

  • Configurazione rafforzata del runtime del contenitore

  • Gestione e rotazione automatizzate dei certificati

  • node-to-control-planeComunicazione limitata

Sicurezza di rete

EKS Auto Mode implementa diverse funzionalità di sicurezza di rete per garantire una comunicazione sicura all'interno del cluster e con risorse esterne:

Politica di rete VPC CNI

EKS Auto Mode sfrutta il supporto nativo della politica di rete Kubernetes del plug-in Amazon VPC CNI:

  • Si integra con l'API Kubernetes Network Policy upstream

  • Consente un controllo granulare sulla comunicazione pod-to-pod

  • Supporta sia le regole di ingresso che quelle di uscita

Per abilitare il supporto delle policy di rete in modalità automatica EKS, è necessario configurare il componente aggiuntivo VPC CNI con un manifesto. configMap Ecco un esempio:

apiVersion: v1
kind: ConfigMap
metadata:
  name: amazon-vpc-cni
  namespace: kube-system
data:
  enable-network-policy: "true"

È inoltre necessario definire la configurazione del supporto delle politiche di rete nella classe Node, come illustrato di seguito:

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: example-node-class
spec:
  networkPolicy: DefaultAllow
  networkPolicyEventLogs: Enabled

Una volta abilitato, puoi creare politiche di rete per controllare il traffico:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

Gestione ENI migliorata

EKS Auto Mode offre una maggiore sicurezza per la gestione dell'interfaccia di rete elastica (ENI):

  • Allegato e configurazione ENI gestiti da AWS

  • Separazione del traffico di controllo dal traffico di dati

  • Gestione automatizzata degli indirizzi IP con privilegi ridotti richiesti sui nodi

Sicurezza dello storage

EKS Auto Mode offre funzionalità di sicurezza avanzate per lo storage temporaneo e persistente:

Archiviazione effimera

  • Tutti i dati scritti su volumi temporanei vengono crittografati automaticamente

  • Utilizza l'algoritmo crittografico AES-256 standard del settore

  • Crittografia e decrittografia gestite senza problemi dal servizio

Volumi EBS

  • I volumi EBS root e dati sono sempre crittografati

  • I volumi sono configurati per essere eliminati al termine dell'istanza

  • È disponibile un'opzione per specificare chiavi KMS personalizzate per la crittografia

Integrazione EFS

  • Support per la crittografia in transito con EFS

  • Crittografia automatica a riposo per i file system EFS

  • Integrazione con punti di accesso EFS per un migliore controllo degli accessi

Importante

Quando utilizzate EFS con EKS Auto Mode, assicuratevi che le impostazioni di crittografia appropriate siano configurate a livello di file system EFS, poiché EKS Auto Mode non gestisce direttamente la crittografia EFS.

Monitoraggio e registrazione

EKS Auto Mode offre funzionalità avanzate di monitoraggio e registrazione per aiutarvi a mantenere la visibilità sul livello di sicurezza e sullo stato operativo del cluster.

Registrazione del piano di controllo

EKS Auto Mode mantiene le stesse funzionalità di registrazione del piano di controllo di EKS standard, tuttavia abilita tutti i log per impostazione predefinita per un monitoraggio avanzato.

  • I log vengono inviati ad Amazon CloudWatch Logs

  • Per impostazione predefinita, EKS Auto Mode abilita tutti i log del piano di controllo: server API, audit, authenticator, controller manager e scheduler

  • EKS Auto Mode consente una visibilità dettagliata delle operazioni del cluster e degli eventi di sicurezza

Importante

La registrazione del Control Plane comporta costi aggiuntivi per l'archiviazione dei log. CloudWatch Valuta attentamente la tua strategia di registrazione per bilanciare le esigenze di sicurezza con la gestione dei costi.

Registrazione a livello di nodo

La modalità automatica EKS migliora la registrazione a livello di nodo:

  • I registri di sistema vengono raccolti automaticamente e sono accessibili tramite Logs CloudWatch

  • I log dei nodi vengono conservati anche dopo la chiusura del nodo, facilitando l'analisi post-incidente

  • Visibilità migliorata sugli eventi di sicurezza a livello di nodo e sui problemi operativi

GuardDuty Integrazione con Amazon

I cluster EKS Auto Mode si integrano perfettamente con Amazon GuardDuty per un rilevamento avanzato delle minacce. Le caratteristiche includono:

  • Scansione automatizzata dei registri di audit del piano di controllo

  • Monitoraggio del runtime che può essere abilitato per il monitoraggio dei carichi di lavoro

  • Integrazione con i GuardDuty risultati esistenti e i meccanismi di allarme

Per abilitare la protezione EKS Auto Mode su Amazon GuardDuty for Kubernetes Audit Logs, puoi eseguire il seguente comando:

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{"Kubernetes":{"AuditLogs":{"Enable":true}}}'

GuardDuty Integrazione Amazon per la sicurezza in fase di esecuzione

Amazon GuardDuty fornisce il monitoraggio essenziale della sicurezza in fase di esecuzione per i cluster EKS Auto Mode, offrendo funzionalità complete di rilevamento delle minacce e monitoraggio della sicurezza. Questa integrazione è particolarmente importante in quanto aiuta a identificare potenziali minacce alla sicurezza e attività dannose in tempo reale.

GuardDuty Caratteristiche principali di EKS Auto Mode

  • Monitoraggio del runtime:

    • Monitoraggio continuo del comportamento in fase di esecuzione

    • Rilevamento di attività dannose o sospette

    • Identificazione di potenziali tentativi di fuga dal container

    • Monitoraggio dell'esecuzione di processi o delle connessioni di rete insolite

  • Rilevamento di minacce specifico per Kubernetes:

    • Identificazione di tentativi di implementazione di pod sospetti

    • Rilevamento di contenitori compromessi

    • Monitoraggio del lancio di container privilegiati

    • Identificazione dell'utilizzo sospetto dell'account di servizio

  • Tipi di ricerca completi:

    • Policy:Kubernetes/* - Rileva le violazioni delle migliori pratiche di sicurezza

    • Impact:Kubernetes/* - Identifica le risorse potenzialmente interessate

    • Discovery:Kubernetes/* - Rileva le attività di ricognizione

    • Execution:Kubernetes/* - Identifica modelli di esecuzione sospetti

    • Persistence:Kubernetes/* - Rileva potenziali minacce persistenti

Per abilitare la protezione EKS Auto Mode su Amazon GuardDuty for Kubernetes Audit Logs and Runtime Monitoring, puoi eseguire il seguente comando:

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{
        "Kubernetes": {
            "AuditLogs": {"Enable": true},
            "RuntimeMonitoring": {"Enable": true}
        }
    }'
Importante

GuardDuty Il monitoraggio del runtime è supportato automaticamente nei cluster EKS Auto Mode, offrendo una maggiore visibilità della sicurezza senza configurazioni aggiuntive a livello di nodo.

GuardDuty Integrazione dei risultati

GuardDuty i risultati possono essere integrati con altri servizi AWS per una risposta automatica:

  • EventBridge Regole:

{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "type": ["Runtime:Container/*", "Runtime:Kubernetes/*"],
    "severity": [4, 5, 6, 7, 8]
  }
}

  • Integrazione con Security Hub:

# Enable Security Hub integration
aws securityhub enable-security-hub \
    --enable-default-standards \
    --tags '{"Environment":"Production"}' \
    --region us-west-2
Migliori pratiche per l' GuardDuty utilizzo della modalità automatica EKS

  1. Abilita tutti i tipi di ricerca:

    • Abilita sia il monitoraggio dei log di controllo di Kubernetes che il monitoraggio del runtime

    • Configura i risultati per tutti i livelli di gravità

  2. Implementa la risposta automatizzata:

    • Crea EventBridge regole per risultati di elevata gravità

    • Integrazione con AWS Security Hub per la gestione centralizzata della sicurezza

    • Imposta azioni di riparazione automatizzate, se del caso

  3. Revisione e ottimizzazione regolari:

    • Esamina regolarmente GuardDuty i risultati

    • Ottimizza le soglie di rilevamento in base al tuo ambiente

    • Aggiorna le procedure di risposta in base a nuovi tipi di risultati

  4. Gestione tra account:

    • Prendi in considerazione l'utilizzo di un account GuardDuty amministratore per la gestione centralizzata

    • Abilita l'aggregazione dei risultati su più account

avvertimento

Sebbene GuardDuty fornisca un monitoraggio completo della sicurezza, dovrebbe far parte di una defense-in-depth strategia che includa altri controlli di sicurezza come le politiche di rete, gli standard di sicurezza dei Pod e la corretta configurazione RBAC.

Domande frequenti (FAQ)

D: In che modo EKS Auto Mode differisce dallo standard EKS in termini di sicurezza? R: La modalità automatica EKS offre una maggiore sicurezza tramite istanze gestite EC2, patch automatizzate, rotazione obbligatoria dei nodi e controlli di sicurezza integrati. Riduce il sovraccarico operativo mantenendo al contempo una solida posizione di sicurezza grazie alla gestione da parte di AWS di una maggior parte degli aspetti di sicurezza.

D: Posso ancora utilizzare gli strumenti e le politiche di sicurezza esistenti con EKS Auto Mode? R: Sì, EKS Auto Mode è compatibile con la maggior parte degli strumenti e delle politiche di sicurezza esistenti. Tuttavia, alcuni strumenti di sicurezza a livello di nodo potrebbero richiedere un adattamento a causa della natura gestita dei nodi EKS Auto Mode.

D: Come posso implementare agenti di sicurezza e strumenti di monitoraggio in EKS Auto Mode? R: In modalità automatica EKS, gli agenti di sicurezza e gli strumenti di monitoraggio devono essere distribuiti come carichi di lavoro Kubernetes (in genere DaemonSets, implementa un'istanza del Pod su ogni nodo per impostazione predefinita) anziché installati direttamente sul sistema operativo del nodo. Questo approccio è in linea con il modello di infrastruttura immutabile di EKS Auto Mode. Esempio:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: security-agent
  namespace: security
spec:
  selector:
    matchLabels:
      app: security-agent
  template:
    metadata:
      labels:
        app: security-agent
    spec:
      containers:
      - name: security-agent
        image: security-vendor/agent:latest
        securityContext:
          privileged: false
          # Use specific capabilities instead of privileged mode
          capabilities:
            add: ["NET_ADMIN", "SYS_ADMIN"]

D: Le soluzioni di sicurezza di terze parti sono compatibili con EKS Auto Mode? R: Molte delle più diffuse soluzioni di sicurezza di terze parti sono state aggiornate per supportare EKS Auto Mode, tuttavia è sempre consigliabile verificare la versione specifica e i requisiti di implementazione con il proprio fornitore di sicurezza, poiché il supporto per EKS Auto Mode potrebbe richiedere versioni aggiornate o configurazioni di implementazione specifiche.

D: Quali sono le limitazioni per gli agenti di sicurezza in EKS Auto Mode? R: Le limitazioni principali includono:

  • Nessun accesso diretto per modificare il sistema operativo del nodo

  • Nessuna persistenza tra le rotazioni dei nodi

  • Deve essere compatibile con la distribuzione basata su container

  • È necessario rispettare l'immutabilità dei nodi

  • Potrebbe richiedere diverse configurazioni di privilegi

  • Qualsiasi modifica persistente ai nodi deve essere eseguita tramite risorse NodePools e NodeClasses risorse.

Nota

Sebbene EKS Auto Mode possa richiedere modifiche alla strategia di implementazione degli strumenti di sicurezza, queste modifiche spesso si traducono in configurazioni più gestibili e sicure, in linea con le migliori pratiche native del cloud. EKS Auto Mode prevede di assumere completamente la maggior parte delle funzionalità che gestisce. Pertanto, qualsiasi modifica manuale apportata a tali funzionalità, se possibile, potrebbe essere sovrascritta o eliminata da EKS Auto Mode.

D: Posso usare la modalità personalizzata AMIs con EKS Auto Mode? R: Al momento, la modalità automatica EKS non supporta la personalizzazione AMIs. Ciò è dovuto alla progettazione in quanto AWS gestisce la sicurezza, l'applicazione di patch e la manutenzione dei nodi come parte del modello di responsabilità condivisa. I nodi EKS Auto Mode utilizzano una variante specializzata di Bottlerocket ottimizzata e gestita da AWS.

D: Con che frequenza i nodi vengono ruotati automaticamente in EKS Auto Mode? R: I nodi in modalità automatica EKS hanno una durata massima di 21 giorni. Verranno sostituiti automaticamente prima di questo limite, garantendo aggiornamenti di sicurezza regolari e l'applicazione delle patch.

D: Posso accedere tramite SSH ai nodi EKS Auto Mode per la risoluzione dei problemi? R: No, l'accesso SSH diretto non è disponibile in modalità automatica EKS. È invece possibile utilizzare la NodeDiagnostic Custom Resource Definition (CRD) per raccogliere i registri di sistema e le informazioni di debug.

D: Il supporto per le policy di rete è abilitato per impostazione predefinita in EKS Auto Mode? R: Per ora, il supporto delle politiche di rete deve essere abilitato in modo esplicito tramite la configurazione del componente aggiuntivo VPC CNI. Una volta abilitato, puoi utilizzare le politiche di rete Kubernetes standard.

D: Devo usare IRSA o Pod Identity con EKS Auto Mode? R: Sebbene entrambi siano supportati, Pod Identity è l'approccio consigliato in EKS Auto Mode poiché include già il componente aggiuntivo dell'agente Pod Identity Security e offre funzionalità di sicurezza avanzate e una gestione semplificata.

D: Posso ancora usare aws-auth ConfigMap in modalità automatica EKS? R: aws-auth ConfigMap È una funzionalità obsoleta. Si consiglia di utilizzare l'approccio predefinito dell'autenticazione basata su API per una maggiore sicurezza e una gestione semplificata degli accessi.

D: Come posso monitorare gli eventi di sicurezza in EKS Auto Mode? R: EKS Auto Mode si integra con diverse soluzioni di monitoraggio GuardDuty, tra cui CloudWatch, e CloudTrail. GuardDuty fornisce un monitoraggio avanzato della sicurezza in fase di esecuzione, specifico per i carichi di lavoro EKS.

D: Come si raccolgono i log dai nodi EKS Auto Mode? R: Usa il NodeDiagnostic CRD, che carica automaticamente i log in un bucket S3. Puoi anche usare CloudWatch Container Insights e AWS Distro per OpenTelemetry.

Nota

Questa sezione delle domande frequenti viene aggiornata regolarmente man mano che vengono aggiunte nuove funzionalità a EKS Auto Mode e quando riceviamo domande frequenti dai clienti.