Sicurezza e autenticazione delle API Sicurezza di rete Sicurezza delle istanze gestite di EC2 Gestione automatizzata delle risorse Best practice di sicurezza

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Considerazioni sulla sicurezza per la modalità automatica di Amazon EKS

Questo argomento descrive l’architettura di sicurezza, i controlli e le best practice per la modalità automatica di Amazon EKS. Man mano che le organizzazioni implementano applicazioni containerizzate su scala, mantenere una solida posizione di sicurezza diventa sempre più complesso. EKS Auto Mode implementa controlli di sicurezza automatizzati e si integra con i servizi AWS di sicurezza per aiutarti a proteggere l'infrastruttura, i carichi di lavoro e i dati del cluster. Attraverso funzionalità di sicurezza integrate come la gestione forzata del ciclo di vita dei nodi e l’implementazione automatica delle patch, modalità automatica di EKS ti aiuta a rispettare le best practice di sicurezza riducendo al contempo il sovraccarico operativo.

Prima di procedere con questo argomento, assicurati di conoscere i concetti base della modalità automatica di EKS e di aver esaminato i prerequisiti per abilitare modalità automatica di EKS sui cluster. Per informazioni generali sulla sicurezza di Amazon EKS, consulta Sicurezza in Amazon EKS.

La modalità automatica di Amazon EKS si fonda sulle basi di sicurezza esistenti di Amazon EKS, introducendo al contempo controlli di sicurezza automatizzati aggiuntivi per le istanze gestite EC2.

Sicurezza e autenticazione delle API

La modalità automatica di Amazon EKS utilizza meccanismi di sicurezza della AWS piattaforma per proteggere e autenticare le chiamate all'API Amazon EKS.

L'accesso all'API Kubernetes è protetto tramite voci di accesso EKS, che si integrano con le identità IAM. AWS
- Per ulteriori informazioni, consulta Concedere agli utenti IAM l’accesso a Kubernetes con le voci di accesso EKS.
I clienti possono implementare un controllo granulare degli accessi all’endpoint dell’API Kubernetes tramite la configurazione delle voci di accesso EKS.

Sicurezza di rete

La modalità automatica di Amazon EKS supporta più livelli di sicurezza di rete:

Integrazione con VPC
- Funziona all’interno del cloud privato virtuale (VPC) di Amazon
- Supporta configurazioni VPC personalizzate e layout di sottorete
- Abilita la rete privata tra i componenti del cluster
- Per ulteriori informazioni, consulta Managing security responsibilities for Amazon Virtual Private Cloud
Policy di rete
- Supporto nativo per le policy di rete di Kubernetes
- Capacità di definire regole granulari del traffico di rete
- Per ulteriori informazioni, consulta Limita il traffico di Pod con le policy di rete di Kubernetes

Sicurezza delle istanze gestite di EC2

La modalità automatica di Amazon EKS opera su istanze gestite EC2 con i seguenti controlli di sicurezza:

Sicurezza EC2

Le istanze gestite di EC2 mantengono le funzionalità di sicurezza di Amazon EC2.
Per ulteriori informazioni sulle istanze gestite da EC2, consulta Security in Amazon EC2.

Gestione del ciclo di vita delle istanze

Le istanze gestite EC2 gestite da EKS Auto Mode hanno una durata massima di 21 giorni. La modalità automatica di Amazon EKS termina automaticamente le istanze che superano questa durata. Questo limite del ciclo di vita aiuta a prevenire variazioni di configurazione e mantiene il livello di sicurezza.

Protezione dei dati

Amazon EC2 Instance Storage è crittografata; questa archiviazione è allegata direttamente all’istanza. Per ulteriori informazioni, consulta Data protection in Amazon EC2.
La modalità automatica di Amazon EKS gestisce i volumi collegati alle istanze EC2 al momento della creazione, compresi i volumi root e di dati. La modalità automatica di EKS non gestisce completamente i volumi EBS creati utilizzando le funzionalità di storage persistente di Kubernetes.

Gestione delle patch

La modalità automatica di Amazon EKS applica automaticamente le patch alle istanze gestite.
Le patch includono:
- Aggiornamenti del sistema operativo
- Patch di sicurezza
- Componenti della modalità automatica di Amazon EKS

Nota

I clienti hanno la responsabilità di proteggere e aggiornare i carichi di lavoro in esecuzione su queste istanze.

Controlli sugli accessi

L’accesso diretto alle istanze è limitato:
- L’accesso SSH non è disponibile.
- AWS L'accesso a Systems Manager Session Manager (SSM) non è disponibile.
Le operazioni di gestione vengono eseguite tramite l’API Amazon EKS e l’API Kubernetes.

Gestione automatizzata delle risorse

La modalità automatica di Amazon EKS non gestisce completamente i volumi di Amazon Elastic Block Store (Amazon EBS) creati utilizzando le funzionalità di storage persistente di Kubernetes. Inoltre, modalità automatica di EKS non gestisce il bilanciatore del carico elastico (ELB). La modalità automatica di Amazon EKS automatizza le attività di routine per queste risorse.

Sicurezza dell’archiviazione

AWS consiglia di abilitare la crittografia per i volumi EBS forniti dalle funzionalità di storage persistente di Kubernetes. Per ulteriori informazioni, consulta Crea una classe di archiviazione.
Crittografia inattiva tramite KMS AWS
Puoi configurare il tuo AWS account per applicare la crittografia dei nuovi volumi EBS e delle copie istantanee che crei. Per ulteriori informazioni, consulta Enable Amazon EBS encryption by default nella Guida per l’utente di Amazon EBS.
Per ulteriori informazioni, consulta Security in Amazon EBS.

Sicurezza del bilanciatore del carico

Configurazione automatizzata dei bilanciatori del carico elastico
SSL/TLS gestione dei certificati tramite l'integrazione AWS di Certificate Manager
Automazione dei gruppi di sicurezza per il controllo degli accessi al bilanciatore del carico
Per ulteriori informazioni, consulta Security in Elastic Load Balancing.

Best practice di sicurezza

La sezione seguente descrive le best practice di sicurezza per la modalità automatica di Amazon EKS.

Esamina regolarmente le politiche AWS IAM e le voci di accesso EKS.
Implementa schemi di accesso con privilegi minimi per i carichi di lavoro.
Monitora l'attività del cluster tramite AWS CloudTrail Amazon CloudWatch. Per ulteriori informazioni, consultare Registra le chiamate API come eventi AWS CloudTrail e Monitora i dati del cluster con Amazon CloudWatch.
Usa AWS Security Hub per la valutazione del livello di sicurezza.
Implementa gli standard di sicurezza dei pod appropriati per i carichi di lavoro.

Convenzioni dei documenti

Indurimento RBAC

Considerazioni sulle funzionalità EKS