Praktik Terbaik untuk Keamanan - Amazon EKS
Cara menggunakan panduan iniMemahami Model Tanggung Jawab BersamaPengantarUmpan BalikSumber Bacaan Lebih LanjutAlat dan sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik Terbaik untuk Keamanan

Panduan ini memberikan saran tentang melindungi informasi, sistem, dan aset yang bergantung pada EKS saat memberikan nilai bisnis melalui penilaian risiko dan strategi mitigasi. Panduan di sini adalah bagian dari serangkaian panduan praktik terbaik yang AWS diterbitkan untuk membantu pelanggan menerapkan EKS sesuai dengan praktik terbaik. Panduan untuk Kinerja, Keunggulan Operasional, Optimalisasi Biaya, dan Keandalan akan tersedia dalam beberapa bulan mendatang.

Cara menggunakan panduan ini

Panduan ini ditujukan untuk praktisi keamanan yang bertanggung jawab untuk menerapkan dan memantau efektivitas kontrol keamanan untuk EKS cluster dan beban kerja yang mereka dukung. Panduan ini diatur ke dalam area topik yang berbeda untuk konsumsi yang lebih mudah. Setiap topik dimulai dengan ikhtisar singkat, diikuti dengan daftar rekomendasi dan praktik terbaik untuk mengamankan EKS klaster Anda. Topik tidak perlu dibaca dalam urutan tertentu.

Memahami Model Tanggung Jawab Bersama

Keamanan dan kepatuhan dianggap sebagai tanggung jawab bersama saat menggunakan layanan terkelola sepertiEKS. Secara umum, AWS bertanggung jawab atas keamanan “dari” cloud sedangkan Anda, pelanggan, bertanggung jawab atas keamanan “di” cloud. DenganEKS, AWS bertanggung jawab untuk mengelola pesawat kontrol Kubernetes yang EKS dikelola. Ini termasuk node bidang kontrol Kubernetes, ETCD database, dan infrastruktur lain yang diperlukan AWS untuk memberikan layanan yang aman dan andal. Sebagai konsumenEKS, Anda sebagian besar bertanggung jawab atas topik dalam panduan ini, misalnyaIAM, keamanan pod, keamanan runtime, keamanan jaringan, dan sebagainya.

Ketika datang ke keamanan infrastruktur, AWS akan memikul tanggung jawab tambahan saat Anda berpindah dari pekerja yang dikelola sendiri, ke grup node terkelola, ke Fargate. Misalnya, dengan Fargate, AWS bertanggung jawab untuk mengamankan instance/runtime dasar yang digunakan untuk menjalankan Pod Anda.

Model Tanggung Jawab Bersama - Fargate

Model Tanggung Jawab Bersama - Fargate

AWSjuga akan bertanggung jawab untuk menjaga agar tetap EKS AMI up to date dengan versi patch Kubernetes dan patch keamanan. Pelanggan yang menggunakan Managed Node Groups (MNG) bertanggung jawab untuk meningkatkan Nodegroups mereka ke yang terbaru AMI melalui EKS APICLI, Cloudformation atau Console. AWS Juga tidak seperti Fargate, tidak akan secara otomatis MNGs menskalakan infrastruktur/cluster Anda. Itu dapat ditangani oleh cluster-autoscaler atau teknologi lain seperti Karpenter, autoscaling asliAWS, Ocean, atau Atlassian's Escalator. SpotInst

Model Tanggung Jawab Bersama - MNG

Model Tanggung Jawab Bersama - MNG

Sebelum merancang sistem Anda, penting untuk mengetahui di mana garis demarkasi antara tanggung jawab Anda dan penyedia layanan ()AWS.

Untuk informasi tambahan tentang model tanggung jawab bersama, lihat https://aws.amazon.com/compliance/shared-responsibility-model/

Pengantar

Ada beberapa area praktik terbaik keamanan yang relevan saat menggunakan layanan Kubernetes yang dikelola seperti: EKS

  • Identity and Access Management

  • Keamanan Pod

  • Keamanan Runtime

  • Keamanan Jaringan

  • Multi-penghunian

  • Multi Akun untuk Multi-tenancy

  • Kontrol Detektif

  • Keamanan Infrastruktur

  • Enkripsi Data dan Manajemen Rahasia

  • Kepatuhan Regulasi

  • Respon Insiden dan Forensik

  • Keamanan Gambar

Sebagai bagian dari merancang sistem apa pun, Anda perlu memikirkan implikasi keamanannya dan praktik yang dapat memengaruhi postur keamanan Anda. Misalnya, Anda perlu mengontrol siapa yang dapat melakukan tindakan terhadap serangkaian sumber daya. Anda juga memerlukan kemampuan untuk mengidentifikasi insiden keamanan dengan cepat, melindungi sistem dan layanan Anda dari akses yang tidak sah, dan menjaga kerahasiaan dan integritas data melalui perlindungan data. Memiliki serangkaian proses yang terdefinisi dengan baik dan terlatih untuk menanggapi insiden keamanan akan meningkatkan postur keamanan Anda juga. Alat dan teknik ini penting karena dapat mendukung berbagai sasaran, seperti mencegah kerugian finansial atau mematuhi peraturan yang berlaku.

AWSmembantu organisasi mencapai tujuan keamanan dan kepatuhan mereka dengan menawarkan serangkaian layanan keamanan yang kaya yang telah berkembang berdasarkan umpan balik dari serangkaian luas pelanggan yang sadar keamanan. Dengan menawarkan fondasi yang sangat aman, pelanggan dapat menghabiskan lebih sedikit waktu untuk “angkat berat yang tidak terdiferensiasi” dan lebih banyak waktu untuk mencapai tujuan bisnis mereka.

Umpan Balik

Panduan ini sedang GitHub dirilis untuk mengumpulkan umpan balik langsung dan saran dari komunitas EKS /Kubernetes yang lebih luas. Jika Anda memiliki praktik terbaik yang menurut Anda harus kami sertakan dalam panduan ini, harap ajukan masalah atau kirimkan PR di GitHub repositori. Tujuan kami adalah memperbarui panduan secara berkala karena fitur baru ditambahkan ke layanan atau ketika praktik terbaik baru berkembang.

Sumber Bacaan Lebih Lanjut

Whitepaper Keamanan Kubernetes, yang disponsori oleh Security Audit Working Group, Whitepaper ini menjelaskan aspek-aspek kunci dari permukaan serangan Kubernetes dan arsitektur keamanan dengan tujuan membantu praktisi keamanan membuat keputusan desain dan implementasi yang baik.

CNCFDiterbitkan juga sebuah white paper tentang cloud native security. Paper ini meneliti bagaimana lanskap teknologi telah berkembang dan mengadvokasi adopsi praktik keamanan yang selaras dengan DevOps proses dan metodologi tangkas.

Alat dan sumber daya

Lokakarya Perendaman EKS Keamanan Amazon

📝 Edit halaman ini di GitHub