Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques en matière de sécurité
Ce guide fournit des conseils sur la protection des informations, des systèmes et des actifs qui dépendent d'EKS tout en apportant une valeur commerciale grâce à des évaluations des risques et à des stratégies d'atténuation. Le présent guide fait partie d'une série de guides de bonnes pratiques publiés par AWS pour aider les clients à implémenter EKS conformément aux meilleures pratiques. Des guides sur les performances, l'excellence opérationnelle, l'optimisation des coûts et la fiabilité seront disponibles dans les prochains mois.
Comment utiliser ce guide
Ce guide est destiné aux professionnels de la sécurité chargés de mettre en œuvre et de surveiller l'efficacité des contrôles de sécurité pour les clusters EKS et les charges de travail qu'ils prennent en charge. Le guide est organisé en différents domaines thématiques pour en faciliter la consommation. Chaque rubrique commence par un bref aperçu, suivi d'une liste de recommandations et de bonnes pratiques pour sécuriser vos clusters EKS. Il n'est pas nécessaire de lire les sujets dans un ordre particulier.
Comprendre le modèle de responsabilité partagée
La sécurité et la conformité sont considérées comme des responsabilités partagées lors de l'utilisation d'un service géré tel que EKS. D'une manière générale, AWS est responsable de la sécurité « du » cloud alors que vous, le client, êtes responsable de la sécurité « dans » le cloud. Avec EKS, AWS est responsable de la gestion du plan de contrôle Kubernetes géré par EKS. Cela inclut les nœuds du plan de contrôle Kubernetes, la base de données ETCD et les autres infrastructures nécessaires à AWS pour fournir un service sécurisé et fiable. En tant que consommateur d'EKS, vous êtes en grande partie responsable des sujets abordés dans ce guide, par exemple l'IAM, la sécurité des modules, la sécurité des environnements d'exécution, la sécurité du réseau, etc.
En matière de sécurité de l'infrastructure, AWS assumera des responsabilités supplémentaires à mesure que vous passerez de travailleurs autogérés à des groupes de nœuds gérés, puis à Fargate. Par exemple, avec Fargate, AWS devient responsable de la sécurisation de l'instance/du runtime sous-jacent utilisé pour exécuter vos pods.
Modèle de responsabilité partagée - Fargate
AWS assumera également la responsabilité de maintenir l'AMI optimisée pour EKS à jour avec les versions des correctifs et des correctifs de sécurité de Kubernetes. Les clients utilisant des groupes de nœuds gérés (MNG) sont responsables de la mise à niveau de leurs groupes de nœuds vers la dernière AMI via l'API EKS, la CLI, Cloudformation ou la console AWS. De plus, contrairement à Fargate MNGs , il ne fera pas automatiquement évoluer votre infrastructure/cluster. Cela peut être géré par le cluster-autoscaler
Modèle de responsabilité partagée - MNG
Avant de concevoir votre système, il est important de savoir où se situe la ligne de démarcation entre vos responsabilités et le fournisseur du service (AWS).
Pour plus d'informations sur le modèle de responsabilité partagée, voir https://aws.amazon.com/compliance/shared-responsibility-model/
Introduction
Plusieurs domaines de bonnes pratiques en matière de sécurité sont pertinents lors de l'utilisation d'un service Kubernetes géré tel que EKS :
-
Gestion de l’identité et des accès
-
Sécurité du pod
-
Sécurité de l'exécution
-
Sécurité du réseau
-
Multilocataire
-
Compte multiple pour location multiple
-
Detective Controls
-
Sécurité de l’infrastructure
-
Chiffrement des données et gestion des secrets
-
Conformité réglementaire
-
Réponse aux incidents et criminalistique
-
Sécurité de l'image
Lors de la conception de tout système, vous devez réfléchir à ses implications en matière de sécurité et aux pratiques susceptibles d'affecter votre posture de sécurité. Par exemple, vous devez contrôler qui peut effectuer des actions sur un ensemble de ressources. Vous devez également être en mesure d'identifier rapidement les incidents de sécurité, de protéger vos systèmes et services contre tout accès non autorisé et de préserver la confidentialité et l'intégrité des données grâce à la protection des données. Le fait de disposer d'un ensemble de processus bien définis et répétés pour répondre aux incidents de sécurité améliorera également votre posture de sécurité. Ces outils et techniques sont importants, car ils soutiennent des objectifs tels que la prévention des pertes financières ou le respect des obligations réglementaires.
AWS aide les entreprises à atteindre leurs objectifs de sécurité et de conformité en proposant un ensemble complet de services de sécurité qui ont évolué en fonction des commentaires d'un large éventail de clients soucieux de la sécurité. En offrant une base hautement sécurisée, les clients peuvent consacrer moins de temps à « soulever des objets lourds de manière indifférenciée » et plus de temps à atteindre leurs objectifs commerciaux.
Commentaires
Ce guide est publié GitHub afin de recueillir les commentaires directs et les suggestions de l'ensemble de la communauté EKS/Kubernetes. Si vous avez une bonne pratique que vous pensez que nous devrions inclure dans le guide, veuillez signaler un problème ou soumettre un PR dans le GitHub référentiel. Notre intention est de mettre à jour le guide périodiquement au fur et à mesure que de nouvelles fonctionnalités sont ajoutées au service ou lorsqu'une nouvelle bonne pratique évolue.
Suggestions de lecture
Livre blanc sur la sécurité Kubernetes
La CNCF a également publié un white paper
Outils et ressources
Atelier d'immersion sur la sécurité Amazon EKS
