強化されたネットワークセキュリティポリシーを Amazon EKS で導入
本日、Amazon Elastic Kubernetes Service (EKS) のネットワークポリシー機能が強化されたことを発表します。これにより、お客様が Kubernetes ワークロードのネットワークセキュリティ体制を改善し、クラスター外部の宛先と統合できるようになります。この拡張は、EKS で以前サポートされていたネットワークセグメンテーション機能を基盤としています。これで、クラスター全体にネットワークアクセスフィルターを一元的に適用できるだけでなく、ドメインネームシステム (DNS) ベースのポリシーを活用して、クラスター環境からの送信トラフィックを保護できます。
お客様が EKS を使用して継続的にアプリケーション環境をスケールするのに伴い、クラスター内外のリソースへの不正アクセスを防ぐために、ネットワークトラフィックの分離がますます重要になっています。これに対処するため、EKS は Amazon VPC Container Network Interface (VPC CNI) プラグイン に Kubernetes NetworkPolicies のサポートを導入しました。これにより、ポッド間通信を名前空間レベルでセグメント化できるようになりました。クラスター全体のネットワークフィルターを一元管理することで、Kubernetes ネットワーク環境の防御態勢をさらに強化できるようになりました。また、クラスター管理者は、完全修飾ドメイン名 (FQDN) に基づいて外部エンドポイントへのトラフィックをフィルタリングする送信ルールを使用して、クラウドまたはオンプレミスのクラスター外部リソースへの不正アクセスを防止するためのより安定した予測可能なアプローチを利用できるようになりました。
これらの新しいネットワークセキュリティ機能は、Kubernetes バージョン 1.29 以降を実行する新しい EKS クラスターのすべての商用 AWS リージョンで利用でき、既存のクラスターも今後数週間以内にサポートされる予定です。ClusterNetworkPolicy は、VPC CNI v1.21.1 以降を使用するすべての EKS クラスター起動モードで使用できます。DNS ベースのポリシーは、EKS オートモードによって起動された EC2 インスタンスでのみサポートされます。詳細については、Amazon EKS のドキュメントをご覧になるか、こちらのローンチブログ投稿をお読みください。