Segurança
Essa seção da documentação do Kubernetes busca ensinar a executar cargas de trabalho mais seguras e aspectos essenciais para a manutenção de um cluster Kubernetes seguro.
O Kubernetes é baseado em uma arquitetura cloud native e segue as boas práticas de segurança da informação para ambientes cloud native recomendadas pela CNCF.
Leia Segurança Cloud Native e Kubernetes para entender o contexto mais amplo sobre como proteger seu cluster e as aplicações que você está executando nele.
Mecanismos de segurança do Kubernetes
O Kubernetes inclui várias APIs e controles de segurança, além de mecanismos para definir políticas que podem fazer parte da sua estratégia de gestão da segurança da informação.
Proteção da camada de gerenciamento
Um mecanismo de segurança fundamental para qualquer cluster Kubernetes é controlar o acesso à API do Kubernetes.
O Kubernetes espera que você configure e utilize TLS para fornecer criptografia de dados em trânsito dentro do control plane e entre o control plane e seus clientes. Você também pode habilitar a criptografia em repouso para os dados armazenados no plano de controle do Kubernetes; isso é diferente de usar criptografia em repouso para os dados das suas próprias cargas de trabalho, o que também pode ser uma boa prática.
Secrets
A API Secret fornece proteção básica para valores de configuração que exigem confidencialidade.
Proteção de cargas de trabalho
Aplique os padrões de segurança de Pods para garantir que os Pods e seus contêineres sejam isolados de forma adequada. Você também pode usar RuntimeClasses para definir isolamento personalizado, se necessário.
As políticas de rede permitem controlar o tráfego de rede entre Pods ou entre Pods e a rede externa ao seu cluster.
Você pode implantar controles de segurança do ecossistema mais amplo para implementar controles preventivos ou de detecção em torno dos Pods, de seus contêineres e das imagens que eles executam.
Admission control
Os admission controllers são plugins que interceptam requisições para a API do Kubernetes e podem validá-las ou modificá-las com base em campos específicos da requisição. Projetar esses controladores com cuidado ajuda a evitar interrupções não intencionais à medida que as APIs do Kubernetes mudam entre atualizações de versão. Para considerações de design, consulte Boas práticas para admission webhooks.
Auditoria
O log de auditoria do Kubernetes fornece um conjunto cronológico de registros relevantes para segurança, documentando a sequência de ações em um cluster. O cluster audita as atividades geradas por usuários, por aplicações que usam a API do Kubernetes e pelo próprio control plane.
Segurança do provedor de nuvem
Se você estiver executando um cluster Kubernetes em seu próprio hardware ou em um provedor de nuvem diferente, consulte sua documentação para conhecer as melhores práticas de segurança. Aqui estão links para a documentação de segurança de alguns provedores de nuvem populares:
| Provedor de IaaS | Link |
|---|---|
| Alibaba Cloud | https://www.alibabacloud.com/trust-center |
| Amazon Web Services | https://aws.amazon.com/security |
| Google Cloud Platform | https://cloud.google.com/security |
| Huawei Cloud | https://www.huaweicloud.com/intl/en-us/securecenter/overallsafety |
| IBM Cloud | https://www.ibm.com/cloud/security |
| Microsoft Azure | https://docs.microsoft.com/en-us/azure/security/azure-security |
| Oracle Cloud Infrastructure | https://www.oracle.com/security |
| Tencent Cloud | https://www.tencentcloud.com/solutions/data-security-and-information-protection |
| VMware vSphere | https://www.vmware.com/solutions/security/hardening-guides |
Políticas
Você pode definir políticas de segurança usando mecanismos nativos do Kubernetes, como NetworkPolicy (controle declarativo sobre filtragem de pacotes de rede) ou ValidatingAdmissionPolicy (restrições declarativas sobre quais alterações alguém pode fazer usando a API do Kubernetes).
No entanto, você também pode contar com implementações de políticas do ecossistema mais amplo em torno do Kubernetes. O Kubernetes fornece mecanismos de extensão que permitem a esses projetos do ecossistema implementar seus próprios controles de política para revisão de código-fonte, aprovação de imagens de contêiner, controles de acesso à API, redes e muito mais.
Para mais informações sobre mecanismos de políticas e Kubernetes, consulte Políticas.
Próximos passos
Saiba mais sobre tópicos relacionados à segurança no Kubernetes:
- Protegendo seu cluster
- Vulnerabilidades conhecidas no Kubernetes (e links para mais informações)
- Criptografia de dados em trânsito para a camada de gerenciamento
- Criptografia de dados em repouso
- Controlando o acesso à API do Kubernetes
- Políticas de rede para Pods
- Secrets no Kubernetes
- Padrões de segurança de Pods
- RuntimeClasses
Entenda o contexto:
Obtenha a certificação:
- Certified Kubernetes Security Specialist — certificação e curso oficial de treinamento.
Leia mais nesta seção:
Itens nesta página referem-se a produtos ou projetos de terceiros que fornecem a funcionalidade requerida pelo Kubernetes. Os autores do projeto Kubernetes não são responsáveis por estes produtos ou projetos de terceiros. Veja as diretrizes de conteúdo do site CNCF para mais detalhes.
Você deve ler o guia de conteúdo antes de propor alterações que incluam links extras de terceiros.