プロファイル適用範囲:レベル1 - クラスター/コントロールプレーン
クラスターがプライベートエンドポイントが有効でパブリックアクセスが無効になっていることを確認し、Kubernetes APIのセキュリティを強化してください。プライベートクラスターでは、マスターノードにはプライベートエンドポイントとパブリックエンドポイントの両方があります。プライベートエンドポイントは、VPCネットワークの内部ロードバランサーの背後にある内部IPアドレスで、ノードとマスターの通信を容易にします。一方、パブリックエンドポイントは、マスターのVPCネットワークの外部からKubernetes
APIにアクセスするためのものです。Kubernetes APIは機密性の高い操作には認証トークンが必要ですが、脆弱性により公開されることがあり、攻撃者がクラスターとそのAPIバージョンを特定して既知の脆弱性を悪用する可能性があります。パブリックエンドポイントを無効にすることで、そのようなリスクを制限し、攻撃者が攻撃を開始するためにはマスターのVPCネットワーク内にいる必要があります。パブリックアクセスが必要な場合は、クラスターのVPC内で安全にプロビジョニングされたクロスアカウントENIを介してkubeletとKubernetes
API間のすべての内部トラフィックを維持しながら、指定されたホワイトリストCIDRブロックのみを許可するように構成する必要があります。