セキュリティのベストプラクティス - Amazon EKS
このガイドの使い方責任共有モデルについて序章フィードバック詳細情報ツールとリソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セキュリティのベストプラクティス

このガイドでは、リスク評価と緩和戦略を通じてビジネス価値を提供しEKSながら、依存する情報、システム、アセットを保護する方法についてアドバイスします。本書のガイダンスは、顧客がベストプラクティスEKSに従って実装できるように公開されている一連のベストプラクティスガイドの一部AWSです。パフォーマンス、オペレーショナルエクセレンス、コスト最適化、信頼性に関するガイドは、今後数か月以内に利用可能になります。

このガイドの使い方

このガイドは、EKSクラスターとサポートするワークロードのセキュリティコントロールの有効性を実装およびモニタリングする責任を負うセキュリティ実務者を対象としています。このガイドは、使いやすくするためにさまざまなトピックエリアにまとめられています。各トピックは簡単な概要から始まり、クラスターを保護するための推奨事項とベストプラクティスのリストが続きますEKS。トピックを特定の順序で読み込む必要はありません。

責任共有モデルについて

セキュリティとコンプライアンスは、 のようなマネージドサービスを使用する場合の責任共有と見なされますEKS。一般的に、 AWSはクラウドのセキュリティ「」を担当し、お客様である はクラウドのセキュリティ「」を担当します。ではEKS、 AWSがEKSマネージド Kubernetes コントロールプレーンの管理を担当します。これには、Kubernetes コントロールプレーンノード、ETCDデータベース、および安全で信頼性の高いサービスを提供するAWSために必要なその他のインフラストラクチャが含まれます。のコンシューマーとしてEKS、IAMポッドセキュリティ、ランタイムセキュリティ、ネットワークセキュリティなど、このガイドのトピックに主に責任があります。

インフラストラクチャのセキュリティに関しては、セルフマネージドワーカーからマネージドノードグループ、Fargate に移行すると、 AWS が追加の責任を負います。例えば、Fargate では、 AWS が Pods の実行に使用される基盤となるインスタンス/ランタイムのセキュリティ保護を担当します。

責任共有モデル - Fargate

責任共有モデル - Fargate

AWS は、Kubernetes パッチバージョンとセキュリティパッチでEKS最適化された をAMI最新の状態に保つ責任も負います。Managed Node Groups (MNG) EKS を使用しているお客様は、API、、Cloudformation CLIまたはAWSコンソールAMIを介して、Nodegroup を最新の にアップグレードする責任があります。また、Fargate とは異なり、 MNGsはインフラストラクチャ/クラスターを自動的にスケーリングしません。これは、クラスターオートスケーラー、または Karpenter 、ネイティブAWS自動スケーリング、 SpotInstの Ocean 、または Atlassian の Escalator などの他のテクノロジーで処理できます。

責任共有モデル - MNG

責任共有モデル - MNG

システムを設計する前に、責任とサービスのプロバイダー () の間の境界線を把握することが重要ですAWS。

責任共有モデルの詳細については、https://aws.amazon.com/compliance/shared-responsibility-model/ を参照してください。

序章

のようなマネージド Kubernetes サービスを使用する際に関連するセキュリティのベストプラクティス分野がいくつかありますEKS。

  • Identity and Access Management

  • ポッドのセキュリティ

  • ランタイムセキュリティ

  • ネットワークセキュリティ

  • マルチテナンシー

  • マルチテナンシーのマルチアカウント

  • 検出コントロール

  • インフラストラクチャセキュリティ

  • データ暗号化とシークレット管理

  • 規制コンプライアンス

  • Incident Response とフォレンジック

  • イメージセキュリティ

システムを設計する一環として、セキュリティへの影響と、セキュリティ体制に影響を与える可能性のあるプラクティスを考慮する必要があります。例えば、リソースのセットに対してアクションを実行できるユーザーを制御する必要があります。また、セキュリティインシデントを迅速に特定し、システムやサービスを不正アクセスから保護し、データ保護を通じてデータの機密性と完全性を維持する機能も必要です。セキュリティインシデントに対応するために、明確に定義されリハーサルされた一連のプロセスがあると、セキュリティ体制も向上します。これらのツールやテクニックは、金銭的な損失の予防や規制遵守という目的を達成するためにも重要です。

AWS は、さまざまなセキュリティ意識の高いお客様からのフィードバックに基づいて進化した豊富なセキュリティサービスを提供することで、組織がセキュリティとコンプライアンスの目標を達成するのに役立ちます。非常に安全な基盤を提供することで、お客様は「差別化されていない重労働」に費やす時間を減らし、ビジネス目標の達成により多くの時間を費やすことができます。

フィードバック

このガイドは、より広範な EKS/Kubernetes コミュニティから直接フィードバックや提案を収集 GitHub するために、 にリリースされています。ガイドに含めるべきベストプラクティスがある場合は、問題をファイルするか、 GitHub リポジトリに PR を送信してください。新機能がサービスに追加されるとき、または新しいベストプラクティスが進化したときに、ガイドを定期的に更新することを意図しています。

詳細情報

Security Audit Working Group が後援する Kubernetes Security Whitepaper では、セキュリティ実務者が健全な設計と実装の決定を行うのを支援することを目的として、Kubernetes 攻撃サーフェスとセキュリティアーキテクチャの重要な側面について説明します。

は、クラウドネイティブセキュリティに関するホワイトペーパーもCNCF公開しました。このホワイトペーパーでは、テクノロジー環境がどのように進化したかを調べ、 DevOps プロセスやアジャイル手法に沿ったセキュリティプラクティスの導入を提唱しています。

ツールとリソース

Amazon EKS Security Immersion ワークショップ

📝 でこのページを編集する GitHub