Publié le: Sep 9, 2020

Les clients Amazon Elastic Kubernetes Service (EKS) peuvent désormais tirer parti des groupes de sécurité EC2 pour sécuriser les applications avec des exigences de sécurité réseau variables sur les ressources de calcul de cluster partagé.

Auparavant, tous les pods d'un nœud partageaient les mêmes groupes de sécurité. Bien que les rôles IAM des comptes de service résolvent le problème de sécurité du pod au niveau de la couche d'authentification, de nombreuses exigences de conformité de l'organisation imposent également la segmentation du réseau comme une étape supplémentaire de défense en profondeur. Les stratégies réseau Kubernetes fournissent une option pour contrôler le trafic réseau au sein du cluster, mais ne prennent pas en charge le contrôle de l'accès aux ressources AWS en dehors du cluster.

Désormais, les règles de sécurité réseau qui s'étendent d'un pod à l'autre et d'un pod au trafic de service AWS externe peuvent être définies dans un seul endroit avec les groupes de sécurité EC2, et appliquées à des pods et applications individuels avec des API natives Kubernetes. Cela facilite la mise en conformité de la sécurité du réseau dans les clusters qui sont partagés entre plusieurs équipes et applications.

La prise en charge de l'attribution de groupes de sécurité aux pods est disponible pour la plupart des instances AWS Nitro lancées avec les nouveaux clusters EKS exécutant Kubernetes version 1.17. La prise en charge pour les clusters existants sera déployée au cours des prochaines semaines. Pour démarrer, consultez ladocumentation Amazon EKS.