**Ajudar a melhorar esta página** 

Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.

# Considerações de segurança sobre o Modo Automático do Amazon EKS
<a name="auto-security"></a>

Este tópico descreve a arquitetura de segurança, os controles e as práticas recomendadas do Modo Automático do Amazon EKS. À medida que as organizações implantam aplicações em contêineres em grande escala, manter uma postura de segurança forte torna-se cada vez mais complexo. O Modo Automático do EKS implementa controles de segurança automatizados e se integra aos serviços de segurança da AWS para ajudar você a proteger a infraestrutura de clusters, workloads e dados. Por meio de recursos de segurança integrados, como gerenciamento forçado do ciclo de vida dos nós e implantação automatizada de patches, o Modo Automático do EKS ajuda você a manter as práticas recomendadas de segurança e, ao mesmo tempo, reduzir a sobrecarga operacional.

Antes de continuar com este tópico, certifique-se de estar familiarizado com os conceitos básicos do Modo Automático do EKS e ter analisado os pré-requisitos para habilitar o Modo Automático do EKS nos clusters. Para obter informações gerais sobre a segurança do Amazon EKS, consulte [Segurança no Amazon EKS](security.md).

O Modo Automático do Amazon EKS se baseia nas bases de segurança existentes do Amazon EKS e, ao mesmo tempo, introduz controles de segurança automatizados adicionais para instâncias gerenciadas pelo EC2.

## Segurança e autenticação da API
<a name="_api_security_and_authentication"></a>

O Modo Automático do Amazon EKS usa mecanismos de segurança da plataforma da AWS para proteger e autenticar chamadas para a API do Amazon EKS.
+ O acesso à API do Kubernetes é protegido por meio de entradas de acesso ao EKS, que se integram às identidades do AWS IAM.
  + Para ter mais informações, consulte [Conceder aos usuários do IAM acesso ao Kubernetes com entradas de acesso ao EKS](access-entries.md).
+ Os clientes podem implementar um controle de acesso refinado ao endpoint da API do Kubernetes por meio da configuração das entradas de acesso do EKS.

## Segurança de rede
<a name="_network_security"></a>

O Modo Automático do Amazon EKS oferece suporte a várias camadas de segurança de rede:
+  **Integração com a VPC** 
  + Opera na Amazon Virtual Private Cloud (VPC)
  + Compatível com as configurações personalizadas da VPC e layouts de sub-rede
  + Habilita a rede privada entre os componentes do cluster
  + Para obter mais informações, consulte [Gerenciar responsabilidades pela segurança na Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/security.html) 
+  **Políticas de rede** 
  + Suporte nativo para políticas de rede do Kubernetes
  + Capacidade de definir regras granulares de tráfego de rede
  + Para ter mais informações, consulte [Limitar o tráfego do pod com políticas de rede do Kubernetes](cni-network-policy.md). 

## Segurança da instância gerenciada do EC2
<a name="_ec2_managed_instance_security"></a>

O Modo Automático do Amazon EKS opera instâncias gerenciadas pelo EC2 com os seguintes controles de segurança:

### Segurança do EC2
<a name="_ec2_security"></a>
+ As instâncias gerenciadas pelo EC2 mantêm os recursos de segurança do Amazon EC2.
+ Para obter mais informações sobre instâncias gerenciadas pelo EC2, consulte [Segurança no Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html).

### Gerenciamento do ciclo de vida da instância
<a name="_instance_lifecycle_management"></a>

As instâncias gerenciadas pelo EC2 operadas pelo Modo Automático do EKS têm vida útil máxima de 21 dias. O Modo Automático do Amazon EKS encerra automaticamente as instâncias que excedem essa vida útil. Esse limite de ciclo de vida ajuda a evitar desvios de configuração e mantém a postura de segurança.

### Proteção de dados
<a name="_data_protection"></a>
+ O armazenamento de instâncias do Amazon EC2 é criptografado, sendo um armazenamento diretamente anexado à instância. Para obter mais informações, consulte [Proteção de dados no Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html).
+ O Modo Automático do EKS gerencia os volumes anexados às instâncias do EC2 no momento da criação, incluindo volumes raiz e de dados. O Modo Automático do EKS não gerencia totalmente os volumes do EBS criados usando os recursos de armazenamento persistente do Kubernetes.

### Gerenciamento de patches
<a name="_patch_management"></a>
+ O Modo Automático do Amazon EKS aplica automaticamente os patches às instâncias gerenciadas.
+ Os patches incluem:
  + Atualizações do sistema operacional
  + Patches de segurança
  + Componentes do Modo Automático do Amazon EKS

**nota**  
Os clientes mantêm a responsabilidade de proteger e atualizar as workloads em execução nessas instâncias.

### Controles de acesso
<a name="_access_controls"></a>
+ O acesso direto à instância é restrito:
  + O acesso SSH não está disponível.
  +  O acesso ao AWS Systems Manager Session Manager (SSM) não está disponível.
+ As operações de gerenciamento são realizadas por meio da API do Amazon EKS e da API do Kubernetes.

## Automatizar o gerenciamento de recursos.
<a name="_automated_resource_management"></a>

O Modo Automático do Amazon EKS não gerencia totalmente os volumes do Amazon Elastic Block Store (Amazon EBS) criados usando recursos de armazenamento persistente do Kubernetes. O Modo Automático do EKS também não gerencia Elastic Load Balancers (ELB). O Modo Automático do Amazon EKS automatiza as tarefas de rotina desses recursos.

### Segurança de armazenamento
<a name="_storage_security"></a>
+  A AWS recomenda que você habilite a criptografia para volumes do EBS provisionados pelos recursos de armazenamento persistente do Kubernetes. Para ter mais informações, consulte [Criar uma classe de armazenamento](create-storage-class.md).
+ Criptografia em repouso usando o AWS KMS
+ Será possível configurar sua conta da AWS para impor a criptografia das novas cópias de snapshots e volumes do EBS que criar. Para obter mais informações, consulte [Enable Amazon EBS encryption by default](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html) no Guia do usuário do Amazon EBS.
+ Para obter mais informações, consulte [Security in Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/security.html).

### Segurança do balanceador de carga
<a name="_load_balancer_security"></a>
+ Configuração automatizada de Elastic Load Balancers
+ Gerenciamento de certificados SSL e TLS por meio da integração com o AWS Certificate Manager
+ Automação de grupos de segurança para controle de acesso ao balanceador de carga
+ Para obter mais informações, consulte [Security in Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/security.html).

## Práticas recomendadas de segurança
<a name="auto-security-bp"></a>

A seção a seguir descreve as práticas recomendadas de segurança do Modo Automático do Amazon EKS.
+ Analise regularmente as políticas do AWS IAM e as entradas de acesso ao EKS.
+ Implemente padrões de acesso de privilégio mínimo para workloads.
+ Monitore a atividade dos clusters por meio do AWS CloudTrail e do Amazon CloudWatch. Para ter mais informações, consulte [Registre chamadas de API como eventos do AWS CloudTrail](logging-using-cloudtrail.md) e [Monitorar dados de cluster com o Amazon CloudWatch](cloudwatch.md).
+ Use o AWS Security Hub para avaliação da postura de segurança.
+ Implemente padrões de segurança de pods apropriados para as workloads.