Seguridad de la infraestructura de Amazon EKS - Amazon EKS

Ayude a mejorar esta página

¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.

Seguridad de la infraestructura de Amazon EKS

Como servicio administrado, Amazon Elastic Kubernetes Service está protegido por la seguridad de la red global AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWS protege la infraestructura, consulte Seguridad en la nube de AWS. Para diseñar su entorno de AWS conforme a las prácticas recomendadas de seguridad de la infraestructura, consulte Protección de la infraestructura en Pilar de seguridad del Marco de AWS Well‐Architected.

Puede utilizar llamadas a la API publicadas en AWS para acceder a Amazon EKS a través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Cuando se crea un clúster de Amazon EKS, se especifican las subredes de la VPC que utilizará el clúster. Amazon EKS requiere subredes en al menos dos zonas de disponibilidad. Recomendamos una VPC con subredes públicas y privadas para que Kubernetes pueda crear equilibradores de carga públicos en las subredes públicas que equilibren la carga de tráfico con los Pods que se ejecutan en los nodos de las subredes privadas.

Para obtener información acerca de las consideraciones de VPC, consulte Requisitos y consideraciones de Amazon EKS VPC y subred.

Si crea la VPC y los grupos de nodos con las plantillas de AWS CloudFormation incluidas en la explicación de Introducción a Amazon EKS, los grupos de seguridad del plano de control y los nodos de los grupos de trabajo se ajustan con la configuración recomendada.

Para obtener más información acerca de las consideraciones del grupo de seguridad, consulte Requisitos y consideraciones sobre grupos de seguridad de Amazon EKS.

Cuando se crea un clúster nuevo, Amazon EKS crea un punto de conexión para el servidor de la API de Kubernetes administrado que utiliza a fin de comunicarse con su clúster (mediante herramientas de administración de Kubernetes como, por ejemplo, kubectl). De forma predeterminada, este punto de conexión del servidor de la API es público en Internet y el acceso al servidor de la API está protegido mediante una combinación de AWS Identity and Access Management (IAM) y el Control de acceso basado en rol (RBAC) nativo de Kubernetes.

Puede habilitar el acceso privado al servidor de la API de Kubernetes para que toda la comunicación entre los nodos y el servidor de la API permanezcan dentro de su VPC. Puede limitar las direcciones IP que pueden acceder a su servidor de API desde Internet o desactivar por completo el acceso a Internet al servidor de API.

Para obtener más información acerca de la modificación del acceso al punto de conexión del clúster, consulte Modificar el acceso al punto de conexión del clúster.

Puede implementar políticas de red de Kubernetes con el CNI de Amazon VPC o con herramientas de terceros, como Proyecto Calico. Para obtener más información sobre el CNI de Amazon VPC para las políticas de red, consulte Configure su clúster para las políticas de red de Kubernetes. Project Calico es un proyecto abierto de terceros. Para obtener más información, consulte la documentación de Project Calico.