Sicurezza dell'infrastruttura in Amazon EKS - Amazon EKS

Sicurezza dell'infrastruttura in Amazon EKS

In qualità di servizio gestito, Amazon EKS è protetto dalle procedure di sicurezza di rete globale AWS descritte nel whitepaper Amazon Web Services: Panoramica dei processi di sicurezza.

Utilizzare le chiamate API pubblicate di AWS per accedere a Amazon EKS tramite la rete. I client devono supportare Transport Layer Security (TLS) 1.2 o versioni successive. I client devono, inoltre, supportare le suite di cifratura con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa, è possibile utilizzare AWS Security Token Service (AWS STS) per generare le credenziali di sicurezza temporanee per la firma delle richieste.

Quando si crea un cluster Amazon EKS;, specificare anche le sottoreti VPC; che devono essere utilizzate dal cluster. Amazon EKS richiede sottoreti in almeno due zone di disponibilità. È consigliabile un VPC con sottoreti pubbliche e private in modo che Kubernetes possa creare bilanciatori del carico pubblici nelle sottoreti pubbliche, che bilancino il carico del traffico ai pod in esecuzione su nodi che si trovano in sottoreti private.

Per ulteriori informazioni sulle considerazioni per il VPC, consulta Considerazioni su cluster VPC e sottoreti.

Se si crea il proprio VPC e i gruppi di nodi con i modelli AWS CloudFormation forniti nella spiegazione passo per passo Guida introduttiva ad Amazon EKS, il piano di controllo e i gruppi di sicurezza dei nodi di lavoro vengono configurati con le impostazioni consigliate.

Per ulteriori informazioni sulle considerazioni per i gruppi di sicurezza, consulta Considerazioni relative al gruppo di sicurezza Amazon EKS.

Quando si crea un nuovo cluster, Amazon EKS crea un endpoint per il server API Kubernetes gestito utilizzato per comunicare con il cluster (usando strumenti di gestione Kubernetes, ad esempio kubectl). Per impostazione predefinita, questo endpoint del server API è pubblico in Internet e l'accesso al server API è protetto utilizzando una combinazione di AWS Identity and Access Management (IAM) e Role Based Access Control (RBAC) Kubernetes nativi.

Puoi abilitare l'accesso privato al server API Kubernetes in modo che tutte le comunicazioni tra i nodi di lavoro e il server API rimangano all'interno del VPC. È possibile limitare gli indirizzi IP che possono accedere al server API da Internet o disabilitare completamente l'accesso a Internet al server API.

Per ulteriori informazioni sulla modifica dell'accesso all'endpoint del cluster, consulta Modifica dell'accesso all'endpoint del cluster.

È possibile implementare le policy di rete con strumenti come Project Calico. Project Calico è un progetto open source di terze parti. Per ulteriori informazioni, consulta la documentazione di Project Calico.