EKSのセキュリティチェックリスト

安全なクラスタのための10のベストプラクティス（前半）

安全なクラスタのための10のベストプラクティスについての記事です。長い記事なので、前半と後半の２つに分けて投稿いたします。今回は前半です。

Kubernetesoにおいてはセキュリティの課題が山積しています。必然的に、Amazon Elastic Kubernetes Service（EKS）のようなマネージドKubernetesサービスにも同じことが言えます。クラスタのセキュリティを強化する最善の方法は、業界標準となり、Kubernetesコミュニティによって推奨されているプラクティスを実装することです。ここでは、すべてのチームがクラスタを保護するために必要な、EKSセキュリティの10の最重要戦略を紹介します。

Amazon EKSのセキュリティは、具体的にどのようなものなのか？

Amazon EKSは、最も人気のあるマネージドKubernetesサービスの1つです。KubernetesコントロールプレーンやKubernetesクラスタの実行に必要なインフラをインストール・管理することなく、Kubernetes経由でコンテナをオーケストレーションできるようになります。

EKSはAWSが提供するサービスであるため、セキュリティに関していえば、まず責任共有モデルから話を始めましょう。一般的に、AWSはそのクラウドサービスのセキュリティを管理する責任があり、顧客はワークロードのセキュリティを監督しています。

AWSはEKS経由でKubernetesのダッシュボードとコントロールプレーンの管理をしており、クラウド事業者が使用するすべてのインフラサービスを含めて、安全なKubernetes環境を提供します。

セルフマネージドワーカーと、IAM、Pod、ランタイム、ネットワークセキュリティ、ワーカーノードのスケーラビリティ、コンテナイメージのコンポーネントなどの EKS クラスタのコンフィギュレーションは、すべてお客様の責任となります。クライアント側のセキュリティには、データセキュリティ、ワーカーノードのアップグレードとパッチ、データプレーンとノードに始まり、コンテナとオペレーティングシステムに終わるすべてのもののセキュアなコンフィギュレーションが含まれます。また、EKSのコントロールプレーンが仮想プライベートクラウド（VPC）と安全な方法で通信できるように、セキュリティグループをコンフィギュアする必要があります。