Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Le migliori pratiche per la sicurezza
**Suggerimento**
[Esplora le](https://aws-experience.com/emea/smb/events/series/get-hands-on-with-amazon-eks?trk=4a9b4147-2490-4c63-bc9f-f8a84b122c8c&sc_channel=el) best practice tramite i workshop Amazon EKS.
Questa guida fornisce consigli sulla protezione delle informazioni, dei sistemi e degli asset che dipendono da EKS, offrendo al contempo valore aziendale attraverso valutazioni del rischio e strategie di mitigazione. Le linee guida qui riportate fanno parte di una serie di guide sulle best practice pubblicate da AWS per aiutare i clienti a implementare EKS in conformità con le migliori pratiche. Le guide per le prestazioni, l'eccellenza operativa, l'ottimizzazione dei costi e l'affidabilità saranno disponibili nei prossimi mesi.
## Come utilizzare questa guida
Questa guida è destinata ai professionisti della sicurezza responsabili dell'implementazione e del monitoraggio dell'efficacia dei controlli di sicurezza per i cluster EKS e i carichi di lavoro che supportano. La guida è organizzata in diverse aree tematiche per facilitarne la fruizione. Ogni argomento inizia con una breve panoramica, seguita da un elenco di consigli e best practice per proteggere i cluster EKS. Non è necessario leggere gli argomenti in un ordine particolare.
## Comprensione del modello di responsabilità condivisa
La sicurezza e la conformità sono considerate responsabilità condivise quando si utilizza un servizio gestito come EKS. In generale, AWS è responsabile della sicurezza «del» cloud mentre tu, il cliente, sei responsabile della sicurezza «nel» cloud. Con EKS, AWS è responsabile della gestione del piano di controllo Kubernetes gestito da EKS. Ciò include i nodi del piano di controllo Kubernetes, il database ETCD e altre infrastrutture necessarie ad AWS per fornire un servizio sicuro e affidabile. In qualità di utente di EKS, sei in gran parte responsabile degli argomenti di questa guida, ad esempio IAM, sicurezza dei pod, sicurezza di runtime, sicurezza di rete e così via.
Per quanto riguarda la sicurezza dell'infrastruttura, AWS si assumerà ulteriori responsabilità man mano che passerai dai lavoratori autogestiti ai gruppi di nodi gestiti, a Fargate. Ad esempio, con Fargate, AWS diventa responsabile della protezione del sottostante instance/runtime utilizzato per eseguire i tuoi Pod.
**Modello di responsabilità condivisa - Fargate**
![\[Modello di responsabilità condivisa - Fargate\]](http://docs.aws.amazon.com/it_it/eks/latest/best-practices/images/security/SRM-EKS.jpg)
AWS si assumerà anche la responsabilità di mantenere aggiornata l'AMI ottimizzata per EKS con le versioni delle patch e le patch di sicurezza di Kubernetes. I clienti che utilizzano Managed Node Groups (MNG) sono responsabili dell'aggiornamento dei propri Nodegroup all'AMI più recente tramite API EKS, CLI, Cloudformation o AWS Console. Inoltre, a differenza di Fargate, non MNGs scalerà automaticamente l'infrastruttura/il cluster. [https://spot.io/product/ocean](https://spot.io/product/ocean)
**Modello di responsabilità condivisa - MNG**
![\[Modello di responsabilità condivisa - MNG\]](http://docs.aws.amazon.com/it_it/eks/latest/best-practices/images/security/SRM-MNG.jpg)
Prima di progettare il sistema, è importante sapere qual è la linea di demarcazione tra le proprie responsabilità e il fornitore del servizio (AWS).
Per ulteriori informazioni sul modello di responsabilità condivisa, consulta/https://aws.amazon.com/compliance/shared-responsibility-model
## Introduzione
Esistono diverse aree di best practice in materia di sicurezza pertinenti quando si utilizza un servizio Kubernetes gestito come EKS:
+ Identity and Access Management
+ Pod Security
+ Sicurezza in fase di esecuzione
+ Sicurezza di rete
+ Multilocazione
+ Account multiplo per multi-tenancy
+ Controlli Detective
+ Sicurezza dell'infrastruttura
+ Crittografia dei dati e gestione dei segreti
+ Conformità alle normative
+ Risposta agli incidenti e analisi forense
+ Sicurezza delle immagini
Come parte della progettazione di qualsiasi sistema, è necessario considerare le sue implicazioni in termini di sicurezza e le pratiche che possono influire sul livello di sicurezza. Ad esempio, è necessario controllare chi può eseguire azioni su un insieme di risorse. È inoltre necessaria la capacità di identificare rapidamente gli incidenti di sicurezza, proteggere i sistemi e i servizi da accessi non autorizzati e mantenere la riservatezza e l'integrità dei dati attraverso la protezione dei dati. Disporre di una serie di processi ben definiti e collaudati per rispondere agli incidenti di sicurezza migliorerà anche il vostro livello di sicurezza. Questi strumenti e tecniche sono importanti perché supportano obiettivi come la prevenzione delle perdite finanziarie o la conformità agli obblighi normativi.
AWS aiuta le organizzazioni a raggiungere i propri obiettivi di sicurezza e conformità offrendo un ricco set di servizi di sicurezza che si sono evoluti sulla base del feedback di un'ampia gamma di clienti attenti alla sicurezza. Offrendo una base altamente sicura, i clienti possono dedicare meno tempo al «lavoro indifferenziato» e più tempo al raggiungimento dei propri obiettivi aziendali.
## Feedback
Questa guida viene pubblicata in GitHub modo da raccogliere feedback e suggerimenti diretti dalla comunità più ampia EKS/Kubernetes . Se hai una best practice che ritieni debba essere inclusa nella guida, segnala un problema o invia un PR nell' GitHub archivio. La nostra intenzione è quella di aggiornare periodicamente la guida man mano che vengono aggiunte nuove funzionalità al servizio o quando si evolve una nuova best practice.
## Approfondimenti
Questo [white paper sulla sicurezza di Kubernetes](https://github.com/kubernetes/sig-security/blob/main/sig-security-external-audit/security-audit-2019/findings/Kubernetes%20White%20Paper.pdf), sponsorizzato dal Security Audit Working Group, descrive gli aspetti chiave della superficie di attacco e dell'architettura di sicurezza di Kubernetes con l'obiettivo di aiutare i professionisti della sicurezza a prendere solide decisioni di progettazione e implementazione.
Il CNCF ha pubblicato anche un [white paper](https://github.com/cncf/tag-security/blob/efb183dc4f19a1bf82f967586c9dfcb556d87534/security-whitepaper/v2/CNCF_cloud-native-security-whitepaper-May2022-v2.pdf) sulla sicurezza nativa del cloud. Il paper esamina l'evoluzione del panorama tecnologico e sostiene l'adozione di pratiche di sicurezza in linea con i DevOps processi e le metodologie agili.
## Strumenti e risorse
[Workshop di immersione nella sicurezza di Amazon EKS](https://catalog.workshops.aws/eks-security-immersionday/en-US)