投稿日: Sep 9, 2020
今回、Amazon Elastic Kubernetes Service (EKS) のユーザーも、EC2 セキュリティグループを活用していただけるようになりました。共有したクラスターのコンピューティングリソースで、ネットワークの多様なセキュリティ要件に合わせながらアプリケーションに安全性を与えられます。
これまでは、ノードにあるすべてのポッドが、共通のセキュリティグループを使用していました。サービスアカウント用の IAM ロールでは、ポッドレベルのセキュリティの問題が認証レイヤーで解決されています。その一方で、多くの組織でのコンプライアンス要件には、深いステップでの追加的な防衛策として、ネットワークセグメンテーションが必須とされています。Kubernetes のネットワークポリシーでは、クラスター内のネットワークトラフィックを制御するオプションを利用できますが、クラスター外にある AWS リソースへのアクセス制御はサポートされていません。
今後は、ポッド間や、ポッドと外部にある AWS サービスの間でのトラフィックをカバーするネットワークのセキュリティルールが、EC2 セキュリティグループを使用して一元的に定義できるようになります。また、このセキュリティルールは、Kubernetes ネイティブの API を使用して、個別のポッドやアプリケーションに適用することもできます。この機能により、複数のチームやアプリケーションで共有されるクラスターでの、ネットワークセキュリティコンプライアンスが、簡単に達成できるようになります。