5.4.4 - AmazonEKSNetworkingPolicyが有効になっており、適切に設定されていることを確認する (自動化された)

プロファイル適用性: レベル1 - クラスター / コントロールプレーン

AmazonEKSNetworkingPolicyは、Amazon Elastic Kubernetes Service (EKS) クラスター内でKubernetes NetworkPolicyの適用をネイティブにサポートするAWS管理のアドオンです。これにより、組織はワークロードと外部エンドポイント間のトラフィックを規制する細かいポッドレベルのネットワークアクセス制御を定義および適用できます。CalicoのAWS最適化実装に基づいて構築されたこのアドオンは、EKSコントロールプレーンとシームレスに統合され、手動でCNIプラグインをインストールすることなく、ネットワークセグメンテーションに対する安全でスケーラブルなアプローチを提供します。AmazonEKSNetworkingPolicyを活用することで、企業はクラスターのセキュリティ状態を強化し、ゼロトラストネットワーキングの原則を適用し、組織および規制のアクセス制御基準に準拠することができます。

デフォルトでは、クラスター内のすべてのポッド間トラフィックが許可されています。ネットワークポリシーは、ソース間のトラフィックを制限するために使用できるポッドレベルのファイアウォールを作成します。ポッドトラフィックは、ラベルを使用して選択するネットワークポリシーを持つことで制限されます。特定のポッドを選択するネットワークポリシーが名前空間に存在すると、そのポッドはネットワークポリシーで許可されていない接続を拒否します。名前空間内の他のポッドは、ネットワークポリシーで選択されていない限り、すべてのトラフィックを引き続き受け入れます。

AmazonEKSNetworkingPolicyを実装することで、Kubernetes NetworkPoliciesのネイティブでAWS管理の施行を導入し、Amazon EKS環境において重要なセキュリティと運用上の利点を提供します。この機能により、組織は細かい粒度のポッドレベルのネットワークセグメンテーションを実施でき、クラスタ内での内部活動や不正な通信のリスクを軽減します。

AWSに最適化されたCalicoエンジンを活用することで、AmazonEKSNetworkingPolicyは、サードパーティのCNIを手動で展開および管理する複雑さを排除し、Kubernetes標準に沿った一貫したポリシー適用を保証します。

このアドオンはゼロトラストネットワーク原則への準拠を強化し、ネットワーク分離を必要とする規制フレームワークをサポートし、クラスタ内通信に対する集中管理と可視性を提供します。最終的に、組織がセキュリティ状態を改善し、運用上の負担を軽減し、現代のコンテナ化された環境でのガバナンスを簡素化するのに役立ちます。

export CLUSTER_NAME=<your cluster name>
aws eks describe-addon --cluster-name ${CLUSTER_NAME} --addon-name vpc-cni --query addon.configurationValues

"{\"enableNetworkPolicy\":\"true\"}"

aws eks update-addon --cluster-name $CLUSTER_NAME --addon-name vpc-cni --configuration-values '{"enableNetworkPolicy":"true"}'