Modo EKS Auto - Segurança - Amazon EKS
Arquitetura de segurançaPerguntas frequentes

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Modo EKS Auto - Segurança

dica

Explore as melhores práticas por meio de workshops do Amazon EKS.

O Amazon EKS Auto Mode introduz recursos de segurança aprimorados ao estender o gerenciamento de segurança da AWS além do plano de controle para incluir nós de trabalho e componentes principais do cluster. Esse modelo de segurança abrangente ajuda as organizações a manter uma postura de segurança sólida e, ao mesmo tempo, reduzir a sobrecarga operacional.

Modelo de responsabilidade compartilhada - EKS Auto Mode

Modelo de responsabilidade compartilhada - Amazon EKS Auto Mode

Os principais aprimoramentos de segurança no EKS Auto Mode incluem:

  • Sistema operacional mínimo otimizado para contêineres com superfície de ataque reduzida

  • Melhores práticas de segurança impostas por meio de instâncias gerenciadas do EC2

  • Gerenciamento automatizado de patches de segurança com rotação obrigatória de nós

  • Isolamento de nós e limites de segurança integrados

  • Integração simplificada do IAM com o mínimo de permissões necessárias

O EKS Auto Mode aplica esses controles de segurança por padrão, ajudando as organizações a atender aos requisitos de segurança e conformidade e, ao mesmo tempo, simplificando as operações de cluster. Essa abordagem se alinha aos defense-in-depth princípios, fornecendo várias camadas de controles de segurança nos níveis de infraestrutura, nó e carga de trabalho.

Importante

Embora o EKS Auto Mode forneça recursos de segurança aprimorados, as organizações ainda devem implementar controles de segurança apropriados na camada de aplicação e seguir as melhores práticas de segurança para suas cargas de trabalho em execução no cluster.

Arquitetura de segurança

O EKS Auto Mode implementa controles de segurança em várias camadas da infraestrutura EKS, do plano de controle aos nós individuais. Compreender essa arquitetura é crucial para gerenciar e proteger com eficácia seus clusters EKS.

Segurança do avião de controle

O plano de controle EKS no modo automático EKS mantém os mesmos padrões de alta segurança dos clusters EKS tradicionais, ao mesmo tempo em que adiciona novos recursos de segurança:

  • Criptografia de envelope: todos os dados da API Kubernetes são criptografados automaticamente usando criptografia de envelope.

  • Integração com o KMS: usa o AWS KMS com o provedor Kubernetes KMS v2, com opções para chaves de propriedade da AWS ou chaves gerenciadas pelo cliente (CMK).

  • Gerenciamento aprimorado de componentes: componentes essenciais, como auto-scaling, gerenciamento de ENI e controladores do EBS, são movidos para fora do cluster e gerenciados pela AWS.

  • Controles de segurança e recursos de auditoria aprimorados: as permissões necessárias do EKS Auto Mode, além dos clusters EKS padrão, são totalmente gerenciadas por meio da função IAM do cluster, em vez de funções de nós individuais.

Integração e gerenciamento de acesso do IAM

O EKS Auto Mode fornece integração aprimorada com o AWS Identity and Access Management (IAM) por meio do EKS Access Entries e do EKS Pod Identity.

Gerenciamento de acesso ao cluster

O EKS Auto Mode introduz melhorias no gerenciamento de acesso ao cluster por meio da API Cluster Access Management (CAM):

  • Modos de autenticação padronizados por meio de EKS_API

  • Segurança aprimorada por meio do gerenciamento de acesso baseado em API

  • Controle de acesso simplificado usando entradas de acesso e políticas de acesso

As entradas de acesso podem ser criadas para gerenciar o acesso ao cluster:

aws eks create-access-entry \
    --cluster-name ${EKS_CLUSTER_NAME} \
    --principal-arn arn:aws:iam::${ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
    --type STANDARD
Importante

Embora ainda seja possível criar um cluster EKS Auto Mode com o modo de CONFIG_MAP_AND_API autenticação, essa não é a abordagem padrão e é altamente recomendável usar o modo de API autenticação padrão para novos clusters. APIa autenticação baseada fornece segurança aprimorada e gerenciamento de acesso simplificado em comparação com a abordagem ConfigMap baseada em legados.

EKS Pod Identity

O EKS Auto Mode vem com o Pod Identity Agent já implantado, permitindo uma forma simplificada de conceder permissões do AWS IAM aos pods:

  • Gerenciamento simplificado de permissões do IAM sem configuração do provedor OIDC

  • Redução da sobrecarga operacional em comparação com o IRSA

  • Segurança aprimorada por meio de marcação de sessão e suporte ABAC

aws eks create-pod-identity-association \
  --cluster-name ${EKS_CLUSTER_NAME} \
  --role-arn arn:aws:iam::${AWS_ACCOUNT_ID}:role/${IAM_ROLE_NAME} \
  --namespace ${NAMESPACE} \
  --service-account ${SERVICE_ACCOUNT_NAME}
Importante

O Pod Identity é a abordagem recomendada para permissões do IAM no modo automático do EKS, pois fornece recursos de segurança aprimorados e gerenciamento simplificado em comparação com o IRSA.

Perfil do IAM do nó

O EKS Auto Mode usa um novo AmazonEKSWorkerNodeMinimalPolicy que fornece apenas as permissões necessárias para que os nós do EKS Auto Mode operem. Essas permissões:

  • Forneça um conjunto reduzido de permissões em comparação com as políticas de nós tradicionais

  • Aderir ao princípio do menor privilégio

  • São gerenciados e atualizados automaticamente pela AWS

Essa abordagem política mínima ajuda a melhorar a postura de segurança ao limitar as permissões disponíveis para o nó e suas cargas de trabalho.

Segurança do Node

O EKS Auto Mode introduz várias melhorias significativas de segurança no nível do nó:

Segurança de instâncias gerenciadas do EC2

Os nós do EKS Auto Mode usam instâncias gerenciadas do Amazon EC2 com propriedades de segurança aprimoradas:

  • Restrições impostas pelo IAM que impedem operações que poderiam comprometer a capacidade da AWS de operar os nós

  • Padrões de infraestrutura imutáveis em que as alterações de configuração exigem a substituição do nó

  • Substituição obrigatória do nó em 21 dias para garantir atualizações de segurança regulares

  • Acesso restrito aos metadados da instância usando limites IMDSv2 de salto controlados

Segurança do sistema operacional

O sistema operacional é uma variante personalizada do Bottlerocket, otimizada para o modo automático EKS, que inclui:

  • Sistema de arquivos raiz somente para leitura

  • SELinux ativado por padrão com controles de acesso obrigatórios

  • Isolamento automático de pods usando rótulos SELinux MCS exclusivos

  • Acesso SSH desativado e remoção de serviços desnecessários

  • Patches de segurança automatizados por meio da rotação de nós

Segurança de componentes do Node

Os componentes do Node são configurados com as melhores práticas de segurança:

  • Kubelet configurado com padrões seguros

  • Configuração reforçada de tempo de execução do contêiner

  • Gerenciamento e rotação automatizados de certificados

  • node-to-control-planeComunicação restrita

Segurança de rede

O EKS Auto Mode implementa vários recursos de segurança de rede para garantir a comunicação segura dentro do cluster e com recursos externos:

Política de rede VPC CNI

O EKS Auto Mode aproveita o suporte nativo à política de rede Kubernetes do plug-in CNI da Amazon VPC:

  • Integra-se à API upstream de políticas de rede do Kubernetes

  • Permite um controle refinado sobre a comunicação pod-to-pod

  • Suporta regras de entrada e saída

Para habilitar o suporte à política de rede no EKS Auto Mode, você precisa configurar o complemento VPC CNI com um manifesto. configMap Exemplo:

apiVersion: v1
kind: ConfigMap
metadata:
  name: amazon-vpc-cni
  namespace: kube-system
data:
  enable-network-policy: "true"

Também é necessário definir se o suporte à Política de Rede está configurado na Classe Node, conforme ilustrado aqui:

apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: example-node-class
spec:
  networkPolicy: DefaultAllow
  networkPolicyEventLogs: Enabled

Depois de ativado, você pode criar políticas de rede para controlar o tráfego:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

Gerenciamento aprimorado de ENI

O EKS Auto Mode fornece segurança aprimorada para o gerenciamento da Elastic Network Interface (ENI):

  • Conexão e configuração do ENI gerenciados pela AWS

  • Separação do tráfego de controle do tráfego de dados

  • Gerenciamento automatizado de endereços IP com privilégios reduzidos necessários nos nós

Segurança de armazenamento

O EKS Auto Mode fornece recursos de segurança aprimorados para armazenamento temporário e persistente:

Armazenamento efêmero

  • Todos os dados gravados em volumes temporários são criptografados automaticamente

  • Usa o algoritmo criptográfico AES-256 padrão do setor

  • Criptografia e descriptografia gerenciadas perfeitamente pelo serviço

Volumes do EBS

  • Os volumes raiz e de dados do EBS são sempre criptografados

  • Os volumes são configurados para serem excluídos após o encerramento da instância

  • Há uma opção para especificar chaves KMS personalizadas para criptografia

Integração com o EFS

  • Support para criptografia em trânsito com o EFS

  • Criptografia automática em repouso para sistemas de arquivos EFS

  • Integração com pontos de acesso EFS para maior controle de acesso

Importante

Ao usar o EFS com o Modo Automático do EKS, certifique-se de que as configurações de criptografia apropriadas estejam definidas no nível do sistema de arquivos do EFS, pois o Modo Automático do EKS não gerencia a criptografia do EFS diretamente.

Monitoramento e registro em log

O EKS Auto Mode fornece recursos aprimorados de monitoramento e registro para ajudá-lo a manter a visibilidade da postura de segurança e da integridade operacional do seu cluster.

Registro em log do plano de controle

O EKS Auto Mode mantém os mesmos recursos de registro do plano de controle do EKS padrão, mas habilita todos os registros por padrão para monitoramento aprimorado.

  • Os registros são enviados para o Amazon CloudWatch Logs

  • Por padrão, o EKS Auto Mode ativa todos os registros do plano de controle: servidor de API, auditoria, autenticador, gerenciador de controladores e agendador

  • O EKS Auto Mode permite visibilidade detalhada das operações do cluster e dos eventos de segurança

Importante

O registro no plano de controle gera custos adicionais para o armazenamento de registros. CloudWatch Considere sua estratégia de registro com cuidado para equilibrar as necessidades de segurança com o gerenciamento de custos.

Registro em nível de nó

O EKS Auto Mode aprimora o registro em nível de nó:

  • Os registros do sistema são coletados automaticamente e podem ser acessados por meio de CloudWatch registros

  • Os registros do nó são retidos mesmo após o término do nó, auxiliando na análise pós-incidente

  • Visibilidade aprimorada de eventos de segurança em nível de nó e problemas operacionais

GuardDuty Integração com a Amazon

Os clusters do EKS Auto Mode se integram perfeitamente à Amazon GuardDuty para melhorar a detecção de ameaças. Os recursos incluem:

  • Escaneamento automatizado para registros de auditoria do plano de controle

  • Monitoramento de tempo de execução que pode ser ativado para monitoramento de cargas de trabalho

  • Integração com GuardDuty descobertas e mecanismos de alerta existentes

Para ativar a proteção do EKS Auto Mode no Amazon GuardDuty for Kubernetes Audit Logs, você pode executar o seguinte comando:

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{"Kubernetes":{"AuditLogs":{"Enable":true}}}'

GuardDuty Integração com a Amazon para segurança de tempo de execução

GuardDuty A Amazon fornece monitoramento essencial de segurança em tempo de execução para clusters do EKS Auto Mode, oferecendo recursos abrangentes de detecção de ameaças e monitoramento de segurança. Essa integração é particularmente importante, pois ajuda a identificar possíveis ameaças à segurança e atividades maliciosas em tempo real.

Principais GuardDuty recursos do EKS Auto Mode

  • Monitoramento do tempo de execução

    • Monitoramento contínuo do comportamento do tempo de execução

    • Detecção de atividades maliciosas ou suspeitas

    • Identificação de possíveis tentativas de fuga de contêineres

    • Monitoramento de execução de processos ou conexões de rede incomuns

  • Detecção de ameaças específicas do Kubernetes:

    • Identificação de tentativas suspeitas de implantação do pod

    • Detecção de contêineres comprometidos

    • Monitoramento de lançamentos de contêineres privilegiados

    • Identificação do uso suspeito da conta de serviço

  • Tipos de descoberta abrangentes:

    • Policy:Kubernetes/* - Detecta violações das melhores práticas de segurança

    • Impacto: Kubernetes/* - Identifica recursos potencialmente afetados

    • Discovery:Kubernetes/* - Detecta atividades de reconhecimento

    • Execution:Kubernetes/* - Identifica padrões de execução suspeitos

    • Persistence:Kubernetes/* - Detecta possíveis ameaças persistentes

Para ativar a proteção do EKS Auto Mode na Amazon GuardDuty para registros de auditoria e monitoramento de tempo de execução do Kubernetes, você pode executar o seguinte comando:

aws guardduty update-detector \
    --detector-id 12abc34d567e8fa901bc2d34e56789f0 \
    --data-sources '{
        "Kubernetes": {
            "AuditLogs": {"Enable": true},
            "RuntimeMonitoring": {"Enable": true}
        }
    }'
Importante

GuardDuty O monitoramento de tempo de execução é automaticamente suportado nos clusters do EKS Auto Mode, fornecendo maior visibilidade de segurança sem configuração adicional no nível do nó.

GuardDuty Integração de descobertas

GuardDuty as descobertas podem ser integradas a outros serviços da AWS para uma resposta automatizada:

  • EventBridge Regras:

{
  "source": ["aws.guardduty"],
  "detail-type": ["GuardDuty Finding"],
  "detail": {
    "type": ["Runtime:Container/*", "Runtime:Kubernetes/*"],
    "severity": [4, 5, 6, 7, 8]
  }
}

  • Integração com o Security Hub:

# Enable Security Hub integration
aws securityhub enable-security-hub \
    --enable-default-standards \
    --tags '{"Environment":"Production"}' \
    --region us-west-2
Melhores práticas para o GuardDuty EKS Auto Mode

  1. Ativar todos os tipos de descoberta:

    • Ative o monitoramento do log de auditoria e o monitoramento do tempo de execução do Kubernetes

    • Configure descobertas para todos os níveis de severidade

  2. Implemente a resposta automatizada:

    • Crie EventBridge regras para descobertas de alta severidade

    • Integre-se ao AWS Security Hub para gerenciamento centralizado de segurança

    • Configure ações de remediação automatizadas quando apropriado

  3. Revisão e ajuste regulares:

    • Revise regularmente GuardDuty as descobertas

    • Ajuste os limites de detecção com base em seu ambiente

    • Atualize os procedimentos de resposta com base em novos tipos de descoberta

  4. Gerenciamento de várias contas:

    • Considere usar uma conta de GuardDuty administrador para gerenciamento centralizado

    • Permita a agregação de descobertas em várias contas

Atenção

Embora GuardDuty forneça monitoramento de segurança abrangente, ele deve fazer parte de uma defense-in-depth estratégia que inclua outros controles de segurança, como políticas de rede, padrões de segurança de pods e configuração adequada do RBAC.

Perguntas frequentes

P: Como o EKS Auto Mode difere do EKS padrão em termos de segurança? R: O EKS Auto Mode fornece segurança aprimorada por meio de instâncias gerenciadas do EC2, aplicação automática de patches, rotação obrigatória de nós e controles de segurança integrados. Isso reduz a sobrecarga operacional e, ao mesmo tempo, mantém uma forte postura de segurança ao fazer com que a AWS gerencie mais aspectos de segurança.

P: Ainda posso usar as ferramentas e políticas de segurança existentes com o EKS Auto Mode? R: Sim, o EKS Auto Mode é compatível com a maioria das ferramentas e políticas de segurança existentes. No entanto, algumas ferramentas de segurança em nível de nó podem exigir adaptação devido à natureza gerenciada dos nós do EKS Auto Mode.

P: Como faço para implantar agentes de segurança e ferramentas de monitoramento no Modo Automático do EKS? R: No modo automático do EKS, os agentes de segurança e as ferramentas de monitoramento devem ser implantados como cargas de trabalho do Kubernetes (normalmente DaemonSets, o que implanta uma instância do pod em cada nó por padrão) em vez de serem instalados diretamente no sistema operacional do nó. Essa abordagem se alinha ao modelo de infraestrutura imutável do EKS Auto Mode. Exemplo:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: security-agent
  namespace: security
spec:
  selector:
    matchLabels:
      app: security-agent
  template:
    metadata:
      labels:
        app: security-agent
    spec:
      containers:
      - name: security-agent
        image: security-vendor/agent:latest
        securityContext:
          privileged: false
          # Use specific capabilities instead of privileged mode
          capabilities:
            add: ["NET_ADMIN", "SYS_ADMIN"]

P: As soluções de segurança de terceiros são compatíveis com o EKS Auto Mode? R: Muitas soluções populares de segurança de terceiros foram atualizadas para oferecer suporte ao Modo Automático EKS, no entanto, é sempre recomendável verificar a versão específica e os requisitos de implantação com seu fornecedor de segurança, pois o suporte ao Modo Automático EKS pode exigir versões atualizadas ou configurações de implantação específicas.

P: Quais são as limitações dos agentes de segurança no modo automático do EKS? R: As principais limitações incluem:

  • Sem acesso direto para modificar o sistema operacional do nó

  • Sem persistência nas rotações dos nós

  • Deve ser compatível com a implantação baseada em contêiner

  • Necessidade de respeitar a imutabilidade do nó

  • Pode exigir configurações de privilégios diferentes

  • Qualquer alteração persistente nos nós deve ser feita por meio NodePools de NodeClasses recursos.

nota

Embora o EKS Auto Mode possa exigir ajustes em sua estratégia de implantação de ferramentas de segurança, essas mudanças geralmente resultam em configurações mais fáceis de manter e seguras, alinhadas às melhores práticas nativas da nuvem. O EKS Auto Mode espera assumir completamente a maioria dos recursos que gerencia. Portanto, quaisquer alterações manuais feitas nesses recursos, se você puder acessá-los, podem ser substituídas ou descartadas pelo Modo Automático do EKS.

P: Posso usar o modo personalizado AMIs com o EKS Auto Mode? R: No momento, o EKS Auto Mode não oferece suporte personalizado AMIs. Isso ocorre intencionalmente, pois a AWS gerencia a segurança, a aplicação de patches e a manutenção dos nós como parte do modelo de responsabilidade compartilhada. Os nós do EKS Auto Mode usam uma variante especializada do Bottlerocket que é otimizada e mantida pela AWS.

P: Com que frequência os nós são girados automaticamente no modo automático do EKS? R: Os nós no modo automático EKS têm uma vida útil máxima de 21 dias. Eles serão substituídos automaticamente antes desse limite, garantindo atualizações regulares de segurança e aplicação de patches.

P: Posso usar SSH nos nós do EKS Auto Mode para solucionar problemas? R: Não, o acesso direto ao SSH não está disponível no modo automático do EKS. Em vez disso, você pode usar a Definição de Recursos NodeDiagnostic Personalizados (CRD) para coletar registros do sistema e informações de depuração.

P: O suporte à política de rede está ativado por padrão no modo automático do EKS? R: Por enquanto, o suporte à política de rede precisa ser explicitamente ativado por meio da configuração do complemento VPC CNI. Depois de habilitado, você pode usar as políticas de rede padrão do Kubernetes.

P: Devo usar o IRSA ou o Pod Identity com o EKS Auto Mode? R: Embora ambos sejam compatíveis, o Pod Identity é a abordagem recomendada no Modo Automático do EKS, pois ele já inclui o complemento do agente Pod Identity Security e fornece recursos de segurança aprimorados e gerenciamento simplificado.

P: Ainda posso usar o aws-auth ConfigMap no modo automático do EKS? R: Esse aws-auth ConfigMap é um recurso obsoleto. É recomendável usar a abordagem padrão de autenticação baseada em API para aumentar a segurança e simplificar o gerenciamento de acesso.

P: Como posso monitorar eventos de segurança no modo automático do EKS? R: O EKS Auto Mode se integra a várias soluções de monitoramento GuardDuty, incluindo CloudWatch, e. CloudTrail GuardDuty fornece monitoramento aprimorado da segurança do tempo de execução, especificamente para cargas de trabalho do EKS.

P: Como faço para coletar registros dos nós do EKS Auto Mode? R: Use o NodeDiagnostic CRD, que carrega automaticamente os registros em um bucket do S3. Você também pode usar o CloudWatch Container Insights e o AWS Distro para OpenTelemetry.

nota

Esta seção de perguntas frequentes é atualizada regularmente à medida que novos recursos são adicionados ao Modo Automático do EKS e à medida que recebemos perguntas comuns dos clientes.