Amazon EKS introduit des politiques de sécurité réseau améliorées
Aujourd’hui, nous annonçons l’amélioration des fonctionnalités de la politique de réseau d’Amazon Elastic Kubernetes Service (EKS) pour permettre aux clients d’améliorer la sécurité du réseau pour leurs charges de travail Kubernetes et leurs intégrations avec des destinations externes au cluster. Cette amélioration s’appuie sur les caractéristiques de segmentation du réseau précédemment prises en charge dans EKS. Vous pouvez désormais appliquer de manière centralisée les filtres d’accès réseau sur l’ensemble du cluster et tirer parti des politiques basées sur le système de nom de domaine (DNS) pour sécuriser le trafic sortant de l’environnement de votre cluster.
Alors que les clients continuent de mettre à l’échelle leurs environnements applicatifs à l’aide d’EKS, l’isolation du trafic réseau est de plus en plus fondamentale pour empêcher tout accès non autorisé aux ressources à l’intérieur et à l’extérieur du cluster. Pour remédier à ce problème, EKS a introduit la prise en charge de Kubernetes NetworkPolicies dans le plug-in Amazon VPC Container Network Interface (VPC CNI), vous permettant de segmenter les communications entre pods au niveau de l’espace de noms. Vous pouvez désormais renforcer la position défensive de votre environnement réseau Kubernetes en gérant de manière centralisée les filtres réseau pour l’ensemble du cluster. En outre, les administrateurs de cluster disposent désormais d’une approche plus stable et prévisible pour empêcher l’accès non autorisé aux ressources externes du cluster dans le cloud ou sur site à l’aide de règles de sortie qui filtrent le trafic vers les points de terminaison externes en fonction de leur nom de domaine entièrement qualifié (FQDN).
Ces nouvelles caractéristiques de sécurité réseau sont disponibles dans toutes les Régions AWS commerciales pour les nouveaux clusters EKS exécutant Kubernetes version 1.29 ou ultérieure, et la prise en charge des clusters existants suivra dans les semaines à venir. ClusterNetworkPolicy est disponible dans tous les modes de lancement de clusters EKS à l’aide de VPC CNI v1.21.1 ou version ultérieure. Les politiques basées sur le DNS ne sont prises en charge que dans les instances EC2 lancées en mode automatique EKS. Pour en savoir plus, consultez la documentation relative à Amazon EKS ou lisez l’article de blog de lancement ici.