投稿日: Jul 22, 2020
Amazon EKS 向けの新しい CIS Benchmark を使うと、Amazon EKS のクラスターの一部として実行されているノードの、セキュリティで保護された構成を正確に評価することができます。
セキュリティは、Kubernetes のクラスターとアプリケーションを設定および維持するための重要な考慮事項です。Center for Internete Security (CIS) Kubernetes Benchmark は、セルフマネージド Kubernetes クラスターのセキュリティ設定に関して優れたプラクティスガイダンスを提供していますが、Amazon EKS が実行する AWS マネージド Kubernetes クラスターのセキュリティ設定ステータスを正確に評価するのに役立ちませんでした。お客様はコントロールプレーンの設定または管理の責任を負わないため、CIS Kubernetes ベンチマークのすべての推奨事項が EKS クラスターに適用できるわけではありません。
現在、CIS Amazon EKS ベンチマークは、EKS のノードセキュリティ設定に関して正確なガイダンスを提供しています。ベンチマークは、Kubernetes コンポーネントのセキュリティ設定を担当する EC2 ノード (マネージドとセルフマネージドの両方) に適用できます。ベンチマークは、コミュニティが承認した標準的な方法を示し、Amazon EKS を使用するときに Kubernetes クラスターとノードを安全に設定したことを保証します。
CIS Amazon EKS ベンチマークは、コントロールプレーンのログ記録設定、ノードのセキュリティ設定、ポリシー、およびマネージドサービスの 4 つのセクションで構成されています。ベンチマークは、Amazon EKS (v1.15-v1.17) から現在入手できる Kubernetes バージョンをサポートしており、Kubernetes クラスターで CIS ベンチマークを使用して設定を確認する標準のオープンソースツールである kube-bench を使用して実行できます。
詳細については、ブログを読むか、CIS ウェブサイトの「すべてのベンチマークにアクセスする」に移動してベンチマークをご覧ください。