Considerazioni sulla sicurezza per Amazon EKS Auto Mode - Amazon EKS
Sicurezza e autenticazione delle APISicurezza di reteSicurezza delle istanze gestite di EC2Gestione automatizzata delle risorseBest practice di sicurezza

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Considerazioni sulla sicurezza per Amazon EKS Auto Mode

Questo argomento descrive l’architettura di sicurezza, i controlli e le best practice per Amazon EKS Auto Mode. Man mano che le organizzazioni implementano applicazioni containerizzate su scala, mantenere una solida posizione di sicurezza diventa sempre più complesso. EKS Auto Mode implementa controlli di sicurezza automatizzati e si integra con i servizi di sicurezza AWS per aiutarti a proteggere l’infrastruttura, i carichi di lavoro e i dati del cluster. Attraverso funzionalità di sicurezza integrate come la gestione forzata del ciclo di vita dei nodi e l’implementazione automatica delle patch, EKS Auto Mode ti aiuta a rispettare le best practice di sicurezza riducendo al contempo il sovraccarico operativo.

Prima di procedere con questo argomento, assicurati di conoscere i concetti base di EKS Auto Mode e di aver esaminato i prerequisiti per abilitare EKS Auto Mode sui cluster. Per informazioni generali sulla sicurezza di Amazon EKS, consulta Sicurezza in Amazon EKS.

Amazon EKS Auto Mode si fonda sulle basi di sicurezza esistenti di Amazon EKS, introducendo al contempo controlli di sicurezza automatizzati aggiuntivi per le istanze gestite EC2.

Sicurezza e autenticazione delle API

Amazon EKS Auto Mode utilizza meccanismi di sicurezza della piattaforma AWS per proteggere e autenticare le chiamate all’API Amazon EKS.

  • L’accesso all’API Kubernetes è protetto tramite voci di accesso EKS, che si integrano con le identità AWS IAM.

  • I clienti possono implementare un controllo granulare degli accessi all’endpoint dell’API Kubernetes tramite la configurazione delle voci di accesso EKS.

Sicurezza di rete

Amazon EKS Auto Mode supporta più livelli di sicurezza di rete:

Sicurezza delle istanze gestite di EC2

Amazon EKS Auto Mode opera su istanze gestite EC2 con i seguenti controlli di sicurezza:

Sicurezza EC2

  • Le istanze gestite di EC2 mantengono le funzionalità di sicurezza di Amazon EC2.

  • Per ulteriori informazioni sulle istanze gestite da EC2, consulta Security in Amazon EC2.

Gestione del ciclo di vita delle istanze

Le istanze gestite EC2 operate da EKS Auto Mode hanno una durata massima di 21 giorni. Amazon EKS Auto Mode termina automaticamente le istanze che superano questa durata. Questo limite del ciclo di vita aiuta a prevenire variazioni di configurazione e mantiene il livello di sicurezza.

Protezione dei dati

  • Amazon EC2 Instance Storage è crittografata; questa archiviazione è allegata direttamente all’istanza. Per ulteriori informazioni, consulta Data protection in Amazon EC2.

  • Amazon EKS Auto Mode gestisce i volumi collegati alle istanze EC2 al momento della creazione, compresi i volumi root e di dati. EKS Auto Mode non gestisce completamente i volumi EBS creati utilizzando le funzionalità di storage persistente di Kubernetes.

Gestione delle patch

  • Amazon EKS Auto Mode applica automaticamente le patch alle istanze gestite.

  • Le patch includono:

    • Aggiornamenti del sistema operativo

    • Patch di sicurezza

    • Componenti di Amazon EKS Auto Mode

Nota

I clienti hanno la responsabilità di proteggere e aggiornare i carichi di lavoro in esecuzione su queste istanze.

Controlli sugli accessi

  • L’accesso diretto alle istanze è limitato:

    • L’accesso SSH non è disponibile.

    • L’accesso ad AWS Systems Manager Session Manager (SSM) non è disponibile.

  • Le operazioni di gestione vengono eseguite tramite l’API Amazon EKS e l’API Kubernetes.

Gestione automatizzata delle risorse

Amazon EKS Auto Mode non gestisce completamente i volumi di Amazon Elastic Block Store (Amazon EBS) creati utilizzando le funzionalità di storage persistente di Kubernetes. Inoltre, EKS Auto Mode non gestisce il bilanciatore del carico elastico (ELB). Amazon EKS Auto Mode automatizza le attività di routine per queste risorse.

Sicurezza dell’archiviazione

  • AWS consiglia di abilitare la crittografia per i volumi EBS forniti dalle funzionalità di archiviazione persistente di Kubernetes. Per ulteriori informazioni, consulta Crea una classe di archiviazione.

  • Crittografia inattiva tramite AWS KMS

  • È possibile configurare il proprio account AWS affinché applichi la crittografia alle nuove copie di volumi e snapshot EBS create. Per ulteriori informazioni, consulta Enable Amazon EBS encryption by default nella Guida per l’utente di Amazon EBS.

  • Per ulteriori informazioni, consulta Security in Amazon EBS.

Sicurezza del bilanciatore del carico

  • Configurazione automatizzata dei bilanciatori del carico elastico

  • Gestione dei certificati SSL/TLS tramite l’integrazione di Gestione certificati AWS

  • Automazione dei gruppi di sicurezza per il controllo degli accessi al bilanciatore del carico

  • Per ulteriori informazioni, consulta Security in Elastic Load Balancing.

Best practice di sicurezza

La sezione seguente descrive le best practice di sicurezza per Amazon EKS Auto Mode.

  • Esamina regolarmente le policy IAM AWS e le voci di accesso EKS.

  • Implementa schemi di accesso con privilegi minimi per i carichi di lavoro.

  • Monitora l’attività del cluster tramite AWS CloudTrail e Amazon CloudWatch. Per ulteriori informazioni, consulta Registra le chiamate API come eventi AWS CloudTrail e Monitorare i dati dei cluster con Amazon CloudWatch.

  • Usa AWS Security Hub per la valutazione del livello di sicurezza.

  • Implementa gli standard di sicurezza dei pod appropriati per i carichi di lavoro.