Amazon EKS 自动模式的安全注意事项

本主题介绍了 Amazon EKS 自动模式的安全架构、控制和最佳实践。随着组织大规模部署容器化应用程序，保持良好的安全态势变得越来越复杂。EKS 自动模式实施自动化的安全控制并与 AWS 安全服务集成，以帮助您保护集群基础设施、工作负载和数据。通过强制节点生命周期管理和自动补丁部署等内置安全功能，EKS 自动模式可帮助您在减少运营开销的同时保持遵循安全最佳实践。

在继续阅读本主题之前，请确保您熟悉 EKS 自动模式的基本概念，并已检查了在集群上启用 EKS 自动模式的先决条件。有关 Amazon EKS 安全性的一般信息，请参阅 Amazon EKS 中的安全性。

Amazon EKS 自动模式以 Amazon EKS 现有的安全性为基础，同时为 EC2 托管式实例引入了额外的自动安全控制措施。

API 安全性和身份验证

Amazon EKS 自动模式使用 AWS 平台安全机制来保护并对 Amazon EKS API 调用进行身份验证。

• 对 Kubernetes API 的访问通过与 AWS IAM 身份集成的 EKS 访问条目进行保护。

  • 有关更多信息，请参阅使用 EKS 访问条目向 IAM 用户授予对 Kubernetes 的访问权限。

• 客户可以通过配置 EKS 访问条目来实施对 Kubernetes API 端点的精细访问控制。

网络安全

Amazon EKS 自动模式支持多层网络安全性：

• VPC 集成

  • 在 Amazon Virtual Private Cloud（VPC）中运行

  • 支持自定义 VPC 配置和子网布局

  • 支持集群组件之间的私有联网

  • 有关更多信息，请参阅管理 Amazon Virtual Private Cloud 的安全责任

• 网络策略

  • 对 Kubernetes 网络策略的原生支持

  • 定义精细网络流量规则的功能

  • 有关更多信息，请参阅通过 Kubernetes 网络策略限制容器组流量

EC2 托管式实例安全性

Amazon EKS 自动模式使用以下安全控制措施运行 EC2 托管式实例：

EC2 安全性

• EC2 托管式实例保持了 Amazon EC2 的安全功能。

• 有关 EC2 托管式实例的更多信息，请参阅 Amazon EC2 中的安全性。

实例生命周期管理

对于由 EKS 自动模式运行的 EC2 托管式实例，最长生命周期为 21 天。Amazon EKS 自动模式会自动终止超过此生命周期的实例。此生命周期限制有助于防止配置偏差并保持安全态势。

数据保护

• Amazon EC2 实例存储直接挂载到实例并进行了加密。有关更多信息，请参阅 Amazon EC2 中的数据保护。

• EKS 自动模式负责管理在创建时挂载到 EC2 实例的卷，包括根卷和数据卷。EKS 自动模式并不完全管理使用 Kubernetes 持久性存储功能创建的 EBS 卷。

补丁管理

• Amazon EKS 自动模式会自动将补丁应用于托管式实例。

• 这些补丁包括：

  • 操作系统更新

  • 安全补丁

  • Amazon EKS 自动模式组件

注意

客户继续负责保护和更新在这些实例上运行的工作负载。

访问控制

• 直接实例访问权限受到限制：

  • 不支持 SSH 访问。

  • 不支持 AWS Systems Manager 会话管理器（SSM）。

• 管理操作通过 Amazon EKS API 和 Kubernetes API 执行。

自动化的资源管理

Amazon EKS 自动模式并不完全管理使用 Kubernetes 持久性存储功能创建的 Amazon Elastic Block Store（Amazon EBS）卷。EKS 自动模式也不会管理弹性负载均衡（ELB）。Amazon EKS 自动模式可自动执行这些资源的例行任务。

存储安全性

• AWS 建议您为 Kubernetes 持久性存储功能预置的 EBS 卷启用加密。有关更多信息，请参阅 创建存储类。

• 使用 AWS KMS 的静态加密

• 您可以配置 AWS 账户对您创建的新 EBS 卷和快照副本进行加密。有关更多信息，请参阅《Amazon EBS 用户指南》中的 Enable Amazon EBS encryption by default。

• 有关更多信息，请参阅 Security in Amazon EBS。

负载均衡器安全性

• 自动配置负载均衡器

• 通过 AWS Certifice Manager 集成来管理 SSL/TLS 证书

• 通过安全组自动化实施负载均衡器访问控制

• 有关更多信息，请参阅 Security in Elastic Load Balancing。

安全最佳实践

下一部分介绍 Amazon EKS 自动模式的安全最佳实践。

• 定期检查 AWS IAM 策略和 EKS 访问条目。

• 为工作负载实施最低权限访问模式。

• 通过 AWS CloudTrail 和 Amazon CloudWatch 监控集群活动。有关更多信息，请参阅将 API 调用记录为 CloudTrail 事件和使用 Amazon CloudWatch 监控集群数据。

• 使用 AWS Security Hub 进行安全态势评估。

• 实施适合工作负载的容器组安全标准。