Profilanwendbarkeit: Stufe 1 - Cluster / Steuerungsebene
Stellen Sie sicher, dass Cluster mit privaten Knoten erstellt werden, um die Sicherheit
zu erhöhen, indem öffentliche IP-Adressen auf Clusterknoten deaktiviert werden, sodass
sie nur auf private IP-Adressen beschränkt sind. Private Knoten, die keine öffentlichen
IPs haben, beschränken die Zugänglichkeit der Knoten auf interne Netzwerke, wodurch
Angreifer zuerst Zugriff auf das lokale Netzwerk erlangen müssen, bevor sie versuchen
können, die Kubernetes-Hosts zu kompromittieren. Um private Knoten effektiv zu implementieren,
muss der Cluster auch mit einem privaten Master-IP-Bereich und IP-Aliasing konfiguriert
werden. Beachten Sie, dass private Knoten nicht von Natur aus ausgehenden Zugriff
auf das öffentliche Internet haben; um dies zu ermöglichen, kann Cloud NAT verwendet
werden, oder Sie können Ihr eigenes NAT-Gateway verwalten, um diesen Knoten ausgehenden
Internetzugang zu bieten.
Auswirkung
Um Private Nodes zu aktivieren, muss der Cluster auch mit einem privaten Master-IP-Bereich
konfiguriert und IP-Aliasing aktiviert sein.
Private Nodes haben keinen ausgehenden Zugriff auf das öffentliche Internet. Wenn
Sie ausgehenden Internetzugang für Ihre privaten Nodes bereitstellen möchten, können
Sie Cloud NAT verwenden oder Ihr eigenes NAT-Gateway verwalten.
Prüfung
Überprüfen Sie, ob die folgenden auf 'Aktiviert: true' gesetzt sind
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.endpointPrivateAccess"
Prüfen Sie, ob die folgenden nicht null sind:
export CLUSTER_NAME=<your cluster name>
aws eks describe-cluster --name ${CLUSTER_NAME} --query "cluster.resourcesVpcConfig.publicAccessCidrs"
Wiederherstellung
aws eks update-cluster-config \
--region region-code \
--name my-cluster \
--resources-vpc-config endpointPublicAccess=true,publicAccessCidrs="203.0.113.5/32",endpointPrivateAccess=true