Seguridad en Amazon EKS - Amazon EKS

Seguridad en Amazon EKS

La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficia de una arquitectura de red y un centro de datos que se han diseñado para satisfacer los requisitos de seguridad de las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

  • Seguridad en la nube: AWS es responsable de proteger la infraestructura que ejecuta los servicios de AWS en la nube de AWS. En Amazon EKS, AWS es responsable del plano de control de Kubernetes, que incluye los nodos del plano de control y la base de datos etcd. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información sobre los programas de conformidad que se aplican a Amazon EKS, consulte Servicios de AWS en el ámbito del programa de conformidad.

  • Seguridad en la nube: las siguientes áreas son su responsabilidad.

    • La configuración de seguridad del plano de datos, incluida la configuración de los grupos de seguridad que permiten que el tráfico pase del plano de control de Amazon EKS a la VPC del cliente

    • La configuración de los nodos y los contenedores

    • El sistema operativo de los nodos (incluidas las actualizaciones y los parches de seguridad)

    • Otros software de aplicaciones asociado:

      • Configuración y administración de controles de red, como las reglas del firewall

      • Administración de identidad y acceso de nivel de plataforma, con o además de IAM

    • La confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables

Esta documentación lo ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Amazon EKS. En los siguientes temas, se mostrará cómo configurar Amazon EKS para satisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que ayudan a monitorear y proteger los recursos de Amazon EKS.

nota

Los contenedores de Linux se componen de grupos de control (cgroups) y espacios de nombres que ayudan a limitar el acceso de un contenedor, pero todos los contenedores comparten el mismo kernel de Linux que la instancia de Amazon EC2 host. No se recomienda ejecutar un contenedor como usuario raíz (UID 0) o conceder acceso a un contenedor a recursos o espacios de nombres de anfitrión como la red de anfitrión o el espacio de nombres PID de anfitrión, ya que al hacerlo se reduce la eficacia del aislamiento que proporcionan los contenedores.