Bantu tingkatkan halaman ini
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Topik ini menjelaskan arsitektur keamanan, kontrol, dan praktik terbaik untuk Mode Otomatis Amazon EKS. Ketika organisasi menerapkan aplikasi kontainer dalam skala besar, mempertahankan postur keamanan yang kuat menjadi semakin kompleks. Mode Otomatis EKS mengimplementasikan kontrol keamanan otomatis dan terintegrasi dengan layanan AWS keamanan untuk membantu Anda melindungi infrastruktur klaster, beban kerja, dan data Anda. Melalui fitur keamanan bawaan seperti manajemen siklus hidup node yang diberlakukan dan penerapan patch otomatis, Mode Otomatis EKS membantu Anda mempertahankan praktik terbaik keamanan sekaligus mengurangi overhead operasional.
Sebelum melanjutkan dengan topik ini, pastikan Anda terbiasa dengan konsep Mode Otomatis EKS dasar dan telah meninjau prasyarat untuk mengaktifkan Mode Otomatis EKS di cluster Anda. Untuk informasi umum tentang keamanan Amazon EKS, lihatKeamanan di Amazon EKS.
Amazon EKS Auto Mode dibangun di atas fondasi keamanan Amazon EKS yang ada sambil memperkenalkan kontrol keamanan otomatis tambahan untuk instans EC2 terkelola.
Keamanan dan otentikasi API
Amazon EKS Auto Mode menggunakan mekanisme keamanan AWS platform untuk mengamankan dan mengautentikasi panggilan ke Amazon EKS API.
-
Akses ke API Kubernetes diamankan melalui entri akses EKS, yang terintegrasi dengan identitas IAM. AWS
-
Untuk informasi selengkapnya, lihat Berikan akses kepada pengguna IAM ke Kubernetes dengan entri akses EKS.
-
-
Pelanggan dapat menerapkan kontrol akses berbutir halus ke titik akhir API Kubernetes melalui konfigurasi entri akses EKS.
Keamanan jaringan
Amazon EKS Auto Mode mendukung beberapa lapisan keamanan jaringan:
-
Integrasi VPC
-
Beroperasi dalam Amazon Virtual Private Cloud (VPC)
-
Mendukung konfigurasi VPC kustom dan tata letak subnet
-
Mengaktifkan jaringan pribadi antara komponen cluster
-
Untuk informasi selengkapnya, lihat Mengelola tanggung jawab keamanan untuk Amazon Virtual Private Cloud
-
-
Kebijakan Jaringan
-
Dukungan asli untuk Kebijakan Jaringan Kubernetes
-
Kemampuan untuk menentukan aturan lalu lintas jaringan granular
-
Untuk informasi selengkapnya, silakan lihat Batasi lalu lintas Pod dengan kebijakan jaringan Kubernetes
-
EC2 keamanan instance terkelola
Amazon EKS Auto Mode mengoperasikan instans EC2 terkelola dengan kontrol keamanan berikut:
EC2 keamanan
-
EC2 instans terkelola mempertahankan fitur keamanan Amazon EC2.
-
Untuk informasi selengkapnya tentang instans EC2 terkelola, lihat Keamanan di Amazon EC2.
Manajemen siklus hidup instans
EC2 instans terkelola yang dioperasikan oleh Mode Otomatis EKS memiliki masa pakai maksimum 21 hari. Mode Otomatis Amazon EKS secara otomatis menghentikan instans yang melebihi masa pakai ini. Batas siklus hidup ini membantu mencegah penyimpangan konfigurasi dan mempertahankan postur keamanan.
Perlindungan data
-
Amazon EC2 Instance Storage dienkripsi, ini adalah penyimpanan yang langsung dilampirkan ke instance. Untuk informasi selengkapnya, lihat Perlindungan data di Amazon EC2.
-
Mode Otomatis EKS mengelola volume yang dilampirkan ke EC2 instance pada waktu pembuatan, termasuk volume root dan data. Mode Otomatis EKS tidak sepenuhnya mengelola volume EBS yang dibuat menggunakan fitur penyimpanan persisten Kubernetes.
Manajemen tambalan
-
Mode Otomatis Amazon EKS secara otomatis menerapkan tambalan ke instans terkelola.
-
Patch meliputi:
-
Pembaruan sistem operasi
-
Patch keamanan
-
Komponen Mode Otomatis Amazon EKS
-
catatan
Pelanggan bertanggung jawab untuk mengamankan dan memperbarui beban kerja yang berjalan pada instans ini.
Kontrol akses
-
Akses instans langsung dibatasi:
-
Akses SSH tidak tersedia.
-
AWS Akses Systems Manager Session Manager (SSM) tidak tersedia.
-
-
Operasi manajemen dilakukan melalui Amazon EKS API dan Kubernetes API.
Manajemen sumber daya otomatis
Amazon EKS Auto Mode tidak sepenuhnya mengelola Volume Amazon Elastic Block Store (Amazon EBS) yang dibuat menggunakan fitur penyimpanan persisten Kubernetes. Mode Otomatis EKS juga tidak mengelola Elastic Load Balancers (ELB). Amazon EKS Auto Mode mengotomatiskan tugas rutin untuk sumber daya ini.
Keamanan penyimpanan
-
AWS merekomendasikan agar Anda mengaktifkan enkripsi untuk Volume EBS yang disediakan oleh fitur penyimpanan persisten Kubernetes. Untuk informasi selengkapnya, lihat Buat kelas penyimpanan.
-
Enkripsi saat istirahat menggunakan AWS KMS
-
Anda dapat mengonfigurasi AWS akun Anda untuk menerapkan enkripsi volume EBS baru dan salinan snapshot yang Anda buat. Untuk informasi selengkapnya, lihat Mengaktifkan enkripsi Amazon EBS secara default di Panduan Pengguna Amazon EBS.
-
Untuk informasi selengkapnya, lihat Keamanan di Amazon EBS.
Keamanan penyeimbang beban
-
Konfigurasi otomatis Elastic Load Balancers
-
Manajemen sertifikat SSL/TLS melalui integrasi Certificate Manager AWS
-
Otomatisasi grup keamanan untuk kontrol akses penyeimbang beban
-
Untuk informasi selengkapnya, lihat Keamanan di Elastic Load Balancing.
Praktik terbaik keamanan
Bagian berikut menjelaskan praktik terbaik keamanan untuk Amazon EKS Auto Mode.
-
Tinjau kebijakan AWS IAM dan entri akses EKS secara teratur.
-
Menerapkan pola akses hak istimewa terkecil untuk beban kerja.
-
Pantau aktivitas cluster melalui AWS CloudTrail dan Amazon CloudWatch. Untuk informasi selengkapnya, silakan lihat Log panggilan API sebagai AWS CloudTrail peristiwa dan Pantau data cluster dengan Amazon CloudWatch.
-
Gunakan AWS Security Hub untuk penilaian postur keamanan.
-
Terapkan standar keamanan pod yang sesuai untuk beban kerja Anda.
