Amazon EKS での設定と脆弱性の分析

セキュリティは、Kubernetes クラスターとアプリケーションを設定および保守するための重要な考慮事項です。Center for Internet Security (CIS) Kubernetes ベンチマーク は、Amazon EKS ノードのセキュリティ設定に関するガイダンスを提供します。ベンチマーク:

• Kubernetes コンポーネントのセキュリティ設定を担当する Amazon EC2 ノード (マネージドとセルフマネージドの両方) に適用できます。

• Amazon EKS を使用するときに、Kubernetes クラスターとノードを安全に設定したことを確認するための標準のコミュニティ承認済みの方法を提供します。

• これは、コントロールプレーンでのログ記録の設定、ノードのセキュリティ設定、ポリシー、マネージド型サービスの 4 つのセクションで構成されます。

• Amazon EKS で現在利用可能なすべての Kubernetes バージョンをサポートし、Kubernetes クラスターで CIS ベンチマークを使用して設定を確認するための標準のオープンソースツールである kube-bench を使用して実行できます。

詳細については、「Introducing The CIS Amazon EKS Benchmark (CIS Amazon EKSベンチマークの紹介)」を参照してください。

Amazon EKS プラットフォームのバージョンは、クラスターコントロールプレーンの機能を表しています。これには、Kubernetes API サーバーでどのフラグが有効であるかや、現在の Kubernetes パッチバージョンなどの情報が含まれます。新しいクラスターは、最新のプラットフォームバージョンでデプロイされます。詳細については、「」を参照してくださいAmazon EKS のプラットフォームバージョン

新しい Kubernetes バージョンに Amazon EKS クラスター を更新することができます。新しい Kubernetes バージョンが Amazon EKS で利用可能になったら、利用可能な最新のバージョンが使用できるよう、クラスターをタイムリーに更新することをお勧めします。EKS での Kubernetes のバージョンの詳細については、「Amazon EKS Kubernetes のバージョン」を参照してください。

Amazon Linux セキュリティセンター で Amazon Linux 2 のセキュリティまたはプライバシーイベントを追跡するか、関連する RSSフィード を購読します。セキュリティおよびプライバシーイベントには、影響を受ける問題の概要、パッケージ、および問題を修正するためにインスタンスを更新する手順などがあります。

Amazon Inspector を使用すると、ノードからネットワークに意図しない接続が可能か、また、それらの Amazon EC2 インスタンスに脆弱性があるかを確認できます。