Segurança no Amazon EKS
A segurança para com a nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você contará com um data center e uma arquitetura de rede criados para atender aos requisitos das organizações com as maiores exigências de segurança.
A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidade compartilhada
-
Segurança da nuvem – a AWS é responsável por proteger a infraestrutura que executa os serviços da AWS na Nuvem AWS. Para o Amazon EKS, a AWS é responsável pelo ambiente de gerenciamento do Kubernetes, que inclui os nós do ambiente de gerenciamento e o banco de dados
etcd
. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos programas de conformidade da AWS. Para saber mais sobre os programas de conformidade que se aplicam ao Amazon EKS, consulte Serviços da AWS no escopo pelo programa de conformidade . -
Segurança na nuvem: sua responsabilidade inclui as seguintes áreas:
-
A configuração de segurança do plano de dados, incluindo a configuração dos grupos de segurança que permitem que o tráfego passe do plano de controle do Amazon EKS para a VPC do cliente
-
A configuração dos nós e dos contêineres
-
O sistema operacional do nó (incluindo atualizações e patches de segurança)
-
Outros softwares de aplicações associadas:
-
Configurar e gerenciar os controles de rede, como regras de firewall
-
Administrar o gerenciamento de acesso e identidade no nível da plataforma, com ou além do IAM.
-
-
A confidencialidade dos dados, os requisitos da sua empresa e as leis e regulamentos aplicáveis
-
Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon EKS. Os tópicos a seguir mostram como configurar o Amazon EKS para atender aos seus objetivos de segurança e de conformidade. Saiba também como usar outros serviços da AWS que ajudam você a monitorar e proteger os recursos do Amazon EKS.
nota
Os contêineres Linux são compostos de grupos de controle (cgroups) e namespaces que ajudam a limitar o que um contêiner pode acessar, mas todos os contêineres compartilham o mesmo kernel Linux que a instância host do Amazon EC2. Executar um contêiner como usuário raiz (UID 0) ou conceder acesso a um contêiner aos recursos do host ou namespaces, como a rede host ou o namespace PID do host são fortemente desencorajados, pois isso reduz a eficácia do isolamento fornecido pelos contêineres.
Tópicos
- Proteger os clusters do Amazon EKS com as práticas recomendadas
- Analisar vulnerabilidades no Amazon EKS
- Validação de conformidade para clusters do Amazon EKS
- Considerações de segurança sobre o Amazon Elastic Kubernetes Service
- Considerações de segurança para o Kubernetes
- Identity and Access Management para o Amazon EKS