Segurança no Amazon EKS - Amazon EKS

Segurança no Amazon EKS

A segurança para com a nuvem na AWS é a nossa maior prioridade. Como cliente da AWS, você contará com um data center e uma arquitetura de rede criados para atender aos requisitos das organizações com as maiores exigências de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O modelo de responsabilidade compartilhada descreve isto como segurança da nuvem e segurança na nuvem:

  • Segurança da nuvem – a AWS é responsável por proteger a infraestrutura que executa os serviços da AWS na Nuvem AWS. Para o Amazon EKS, a AWS é responsável pelo ambiente de gerenciamento do Kubernetes, que inclui os nós do ambiente de gerenciamento e o banco de dados etcd. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos programas de conformidade da AWS. Para saber mais sobre os programas de conformidade que se aplicam ao Amazon EKS, consulte Serviços da AWS no escopo pelo programa de conformidade.

  • Segurança na nuvem: sua responsabilidade inclui as seguintes áreas:

    • A configuração de segurança do plano de dados, incluindo a configuração dos grupos de segurança que permitem que o tráfego passe do plano de controle do Amazon EKS para a VPC do cliente

    • A configuração dos nós e dos contêineres

    • O sistema operacional do nó (incluindo atualizações e patches de segurança)

    • Outros softwares de aplicações associadas:

      • Configurar e gerenciar os controles de rede, como regras de firewall

      • Administrar o gerenciamento de acesso e identidade no nível da plataforma, com ou além do IAM.

    • A confidencialidade dos dados, os requisitos da sua empresa e as leis e regulamentos aplicáveis

Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon EKS. Os tópicos a seguir mostram como configurar o Amazon EKS para atender aos seus objetivos de segurança e de conformidade. Saiba também como usar outros serviços da AWS que ajudam você a monitorar e proteger os recursos do Amazon EKS.

nota

Os contêineres Linux são compostos de grupos de controle (cgroups) e namespaces que ajudam a limitar o que um contêiner pode acessar, mas todos os contêineres compartilham o mesmo kernel Linux que a instância host do Amazon EC2. Executar um contêiner como usuário raiz (UID 0) ou conceder acesso a um contêiner aos recursos do host ou namespaces, como a rede host ou o namespace PID do host são fortemente desencorajados, pois isso reduz a eficácia do isolamento fornecido pelos contêineres.