Sicurezza dell’infrastruttura in Amazon EKS - Amazon EKS

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Sicurezza dell’infrastruttura in Amazon EKS

In quanto servizio gestito, Amazon Elastic Kubernetes Service è protetto dalla sicurezza di rete globale di AWS. Per informazioni sui servizi di sicurezza AWSe su come AWSprotegge l’infrastruttura, consulta la pagina Sicurezza del cloud AWS. Per progettare l’ambiente AWSutilizzando le best practice per la sicurezza dell’infrastruttura, consulta la pagina Protezione dell’infrastruttura nel Pilastro della sicurezza di AWSWell‐Architected Framework.

Utilizzare le chiamate API pubblicate di AWS per accedere a Amazon EKS tramite la rete. I client devono supportare quanto segue:

  • Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa, puoi utilizzare AWS Security Token Service (AWS STS) per generare le credenziali di sicurezza temporanee per firmare le richieste.

Quando si crea un cluster Amazon EKS, specificare anche le sottoreti VPC; che devono essere utilizzate dal cluster. Amazon EKS richiede sottoreti in almeno due zone di disponibilità. È consigliabile un VPC con sottoreti pubbliche e private in modo che Kubernetes possa creare bilanciatori del carico pubblici nelle sottoreti pubbliche, che bilancino il carico del traffico ai pod in esecuzione su nodi che si trovano in sottoreti private.

Per ulteriori informazioni sulle considerazioni per il VPC, consultare Visualizzazione di requisiti di rete di Amazon EKS per VPC e sottoreti.

Se si crea il proprio VPC e i gruppi di nodi con i modelli AWS CloudFormation forniti nella procedura dettagliata Get started with Amazon EKS, il piano di controllo e i gruppi di sicurezza dei nodi di lavoro vengono configurati con le impostazioni consigliate.

Per ulteriori informazioni sulle considerazioni per i gruppi di sicurezza, consultare Visualizzazione dei requisiti relativi al gruppo di sicurezza Amazon EKS per cluster.

Quando si crea un nuovo cluster, Amazon EKS crea un endpoint per il server API Kubernetes gestito utilizzato per comunicare con il cluster (usando strumenti di gestione Kubernetes, ad esempio kubectl). Per impostazione predefinita, questo endpoint del server API è pubblico in Internet e l’accesso al server API è protetto utilizzando una combinazione di AWS Identity and Access Management (AWS IAM) e dal controllo degli accessi basato sul ruolo (RBAC) Kubernetes nativo.

Puoi abilitare l’accesso privato al server API Kubernetes in modo che tutte le comunicazioni tra i nodi di lavoro e il server API rimangano all’interno del VPC. È possibile limitare gli indirizzi IP che possono accedere al server API da Internet o disabilitare completamente l’accesso a Internet al server API.

Per ulteriori informazioni sulla modifica dell’accesso all’endpoint del cluster, consultare Modifica dell'accesso all'endpoint del cluster.

È possibile implementare policy di rete Kubernetes con CNI di Amazon VPC o strumenti di terze parti come Project Calico. Per ulteriori informazioni sull’utilizzo della CNI di Amazon VPC per le policy di rete, consulta la pagina Limita il traffico di Pod con le policy di rete di Kubernetes. Project Calico è un progetto open source di terze parti. Per ulteriori informazioni, consulta la documentazione di Project Calico.