Segurança da infraestrutura no Amazon EKS - Amazon EKS

Ajudar a melhorar esta página

Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.

Segurança da infraestrutura no Amazon EKS

Como um serviço gerenciado, o Amazon Elastic Kubernetes Service é protegido pela segurança de rede global da AWS. Para obter informações sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte Segurança na nuvem da AWS. Para projetar o ambiente da AWS utilizando as práticas recomendadas de segurança de infraestrutura, consulte Proteção de infraestrutura em Pilar segurança: AWS Well‐Architected Framework.

Você usa chamadas à API publicadas pela AWS para acessar o Amazon EKS por meio da rede. Os clientes precisam oferecer suporte para:

  • Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Conjuntos de criptografia com sigilo de encaminhamento perfeito (perfect forward secrecy, ou PFS) como DHE (Ephemeral Diffie-Hellman, ou Efêmero Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman, ou Curva elíptica efêmera Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

Além disso, as solicitações devem ser assinadas utilizando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o AWS Security Token Service (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.

Ao criar um cluster do Amazon EKS, você especifica as sub-redes da VPC para uso do cluster. O Amazon EKS exige sub-redes em, pelo menos, duas zonas de disponibilidade. Recomendamos uma VPC com sub-redes públicas e privadas a fim de que o Kubernetes possa criar balanceadores de carga públicos nas sub-redes públicas que fazem o balanceamento de carga do tráfego para Pods em execução nos nós localizados em sub-redes privadas.

Para obter mais informações sobre as considerações da VPC, consulte Requisitos e considerações sobre a VPC e a sub-rede do Amazon EKS.

Se você criar a VPC e os grupos de nós com os modelos do AWS CloudFormation fornecidos na demonstração Conceitos básicos do Amazon EKS, o plano de controle e os grupos de segurança do nó serão definidos com as configurações recomendadas.

Para obter mais informações sobre considerações de grupos de segurança, consulte Considerações e requisitos sobre grupos de segurança do Amazon EKS.

Quando você cria um cluster, o Amazon EKS cria um endpoint para o servidor gerenciado de API do Kubernetes usado para se comunicar com o cluster (usando as ferramentas de gerenciamento do Kubernetes, como kubectl). Por padrão, esse endpoint do servidor de API é público para a Internet, e o acesso ao servidor de API é protegido por uma combinação do AWS Identity and Access Management (IAM) e do Controle de acesso com base em função (RBAC) nativo do Kubernetes.

Você pode habilitar o acesso privado ao servidor de API do Kubernetes para que todas as comunicações entre os nós e o servidor de API fiquem na VPC. Você pode limitar os endereços IP que podem acessar o servidor de API pela Internet ou desativar completamente o acesso à Internet para o servidor de API.

Para obter mais informações sobre como modificar o acesso do endpoint do cluster, consulte Modificar o acesso ao endpoint do cluster:

Você pode implementar políticas de rede do Kubernetes com o Amazon VPC CNI ou com ferramentas de terceiros, como o Project Calico. Para obter mais informações sobre o uso do Amazon VPC CNI para políticas de rede, consulte Configure seu cluster para as políticas de rede do Kubernetes. O Project Calico é um projeto de código-fonte aberto de terceiros. Para obter mais informações, consulte a documentação do Project Calico.