Sicurezza in Amazon EKS - Amazon EKS

Sicurezza in Amazon EKS

Per AWS, la sicurezza del cloud ha la massima priorità. In quanto cliente AWS, è possibile trarre vantaggio da un'architettura di data center e di rete progettata per soddisfare i requisiti delle organizzazioni più esigenti a livello di sicurezza.

La sicurezza è una responsabilità condivisa tra te e AWS. Il modello di responsabilità condivisa descrive questo come sicurezza del cloud e sicurezza nel cloud:

  • Sicurezza del cloud: AWS è responsabile della protezione dell'infrastruttura che esegue i servizi AWS in AWS Cloud. In Amazon EKS, AWS è responsabile del piano di controllo Kubernetes, che include i nodi del piano di controllo e il database etcd. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei programmi di conformità AWS. Per ulteriori informazioni sui programmi di conformità che si applicano ad Amazon EKS, consultare Servizi AWS coperti dal programma di conformità.

  • Sicurezza nel cloud - Le seguenti aree sono sotto la responsabilità dell'utente.

    • La configurazione di sicurezza del piano dei dati, compresa la configurazione dei gruppi di sicurezza che autorizzano il passaggio del traffico dal piano di controllo Amazon EKS al VPC del cliente

    • La configurazione dei nodi di lavoro e degli stessi container

    • Il sistema operativo che ospita il nodo di lavoro (inclusi gli aggiornamenti e le patch di sicurezza)

    • Altri software applicativi associati:

      • La configurazione e la gestione dei controlli di rete, come le regole del firewall

      • La gestione di identità a livello di piattaforma e la gestione degli accessi, con o in aggiunta alle IAM

    • La riservatezza dei dati, i requisiti dell'azienda e le leggi e le normative applicabili.

Questa documentazione aiuta a comprendere come applicare il modello di responsabilità condivisa quando si utilizza Amazon EKS. Gli argomenti seguenti descrivono come configurare Amazon EKS per soddisfare gli obiettivi di sicurezza e conformità. Vengono inoltre fornite informazioni su come utilizzare altri servizi AWS che consentono di monitorare e proteggere le risorse Amazon EKS.

Nota

I contenitori Linux sono costituiti da gruppi di controllo (cgroups) e spazi dei nomi che aiutano a limitare ciò a cui un container può accedere, ma tutti i contenitori condividono lo stesso kernel Linux dell'istanza host Amazon EC2. L'esecuzione di un container come utente root (UID 0), o la concessione di un accesso al container a risorse host o spazi dei nomi, come la rete host o lo spazio dei nomi PID host sono fortemente sconsigliati, in quanto ciò riduce l'efficacia dell'isolamento fornito dai container.