Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Migliori pratiche per la sicurezza

Questa guida fornisce consigli sulla protezione delle informazioni, dei sistemi e delle risorse su cui si fa affidamento, offrendo al EKS contempo valore aziendale attraverso valutazioni del rischio e strategie di mitigazione. Le linee guida qui riportate fanno parte di una serie di guide sulle migliori pratiche che AWS vengono pubblicate per aiutare i clienti a implementare EKS in conformità con le migliori pratiche. Le guide per le prestazioni, l'eccellenza operativa, l'ottimizzazione dei costi e l'affidabilità saranno disponibili nei prossimi mesi.

Come utilizzare questa guida

Questa guida è destinata ai professionisti della sicurezza responsabili dell'implementazione e del monitoraggio dell'efficacia dei controlli di sicurezza per i EKS cluster e i carichi di lavoro che supportano. La guida è organizzata in diverse aree tematiche per facilitarne la fruizione. Ogni argomento inizia con una breve panoramica, seguita da un elenco di consigli e best practice per proteggere i EKS cluster. Non è necessario leggere gli argomenti in un ordine particolare.

Comprensione del modello di responsabilità condivisa

La sicurezza e la conformità sono considerate responsabilità condivise quando si utilizza un servizio gestito comeEKS. In generale, AWS è responsabile della sicurezza «del» cloud mentre tu, il cliente, sei responsabile della sicurezza «nel» cloud. WithEKS, AWS è responsabile della gestione del piano di controllo Kubernetes EKS gestito. Ciò include i nodi del piano di controllo Kubernetes, il ETCD database e altre infrastrutture necessarie per AWS fornire un servizio sicuro e affidabile. In qualità di utente diEKS, sei in gran parte responsabile degli argomenti di questa guida, ad esempio la sicurezza dei podIAM, la sicurezza del runtime, la sicurezza della rete e così via.

Per quanto riguarda la sicurezza dell'infrastruttura, si AWS assumerà responsabilità aggiuntive man mano che passerai dai lavoratori autogestiti ai gruppi di nodi gestiti, a Fargate. Ad esempio, con Fargate, AWS diventa responsabile della protezione dell'istanza/runtime sottostante utilizzata per eseguire i tuoi Pod.

Modello di responsabilità condivisa - Fargate

AWSsi assumerà inoltre la responsabilità di mantenere aggiornate le versioni EKS ottimizzate AMI delle patch e delle patch di sicurezza di Kubernetes. I clienti che utilizzano Managed Node Groups (MNG) sono responsabili dell'aggiornamento dei propri Nodegroup alla versione più recente tramite Cloudformation o Console. AMI EKS API CLI AWS Inoltre, a differenza di Fargate, non MNGs scalerà automaticamente l'infrastruttura/il cluster. Questo può essere gestito dal cluster-autoscaler o da altre tecnologie come Karpenter, native autoscaling,'s Ocean o Atlassian's Escalator. AWS SpotInst

Modello di responsabilità condivisa - MNG

Prima di progettare il sistema, è importante sapere dove si colloca la linea di demarcazione tra le proprie responsabilità e il fornitore del servizio (). AWS

Per ulteriori informazioni sul modello di responsabilità condivisa, vedere/https://aws.amazon.com/compliance/shared-responsibility-model

Introduzione

Esistono diverse aree di best practice di sicurezza pertinenti quando si utilizza un servizio Kubernetes gestito come: EKS

Come parte della progettazione di qualsiasi sistema, è necessario considerare le sue implicazioni in termini di sicurezza e le pratiche che possono influire sul livello di sicurezza. Ad esempio, è necessario controllare chi può eseguire azioni su un insieme di risorse. È inoltre necessaria la capacità di identificare rapidamente gli incidenti di sicurezza, proteggere i sistemi e i servizi da accessi non autorizzati e mantenere la riservatezza e l'integrità dei dati attraverso la protezione dei dati. Disporre di una serie di processi ben definiti e collaudati per rispondere agli incidenti di sicurezza migliorerà anche il vostro livello di sicurezza. Questi strumenti e tecniche sono importanti perché supportano obiettivi come la prevenzione delle perdite finanziarie o la conformità agli obblighi normativi.

AWSaiuta le organizzazioni a raggiungere i propri obiettivi di sicurezza e conformità offrendo un ricco set di servizi di sicurezza che si sono evoluti sulla base del feedback di un'ampia gamma di clienti attenti alla sicurezza. Offrendo una base altamente sicura, i clienti possono dedicare meno tempo al «lavoro indifferenziato» e più tempo al raggiungimento dei propri obiettivi aziendali.

Feedback

Questa guida è stata pubblicata GitHub per raccogliere feedback e suggerimenti diretti dalla più ampia EKS community /Kubernetes. Se hai una best practice che ritieni debba essere inclusa nella guida, segnala un problema o invia un PR nell'archivio. GitHub La nostra intenzione è quella di aggiornare periodicamente la guida man mano che vengono aggiunte nuove funzionalità al servizio o quando si evolve una nuova best practice.

Approfondimenti

Questo white paper sulla sicurezza di Kubernetes, sponsorizzato dal Security Audit Working Group, descrive gli aspetti chiave della superficie di attacco e dell'architettura di sicurezza di Kubernetes con l'obiettivo di aiutare i professionisti della sicurezza a prendere solide decisioni di progettazione e implementazione.

Ha CNCF pubblicato anche un white paper sulla sicurezza nativa del cloud. Il paper esamina l'evoluzione del panorama tecnologico e sostiene l'adozione di pratiche di sicurezza in linea con i DevOps processi e le metodologie agili.

Strumenti e risorse

Workshop EKS di immersione nella sicurezza di Amazon

📝 Modifica questa pagina su GitHub