As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Melhores práticas de segurança
<a name="security"></a>

**dica**  
 [Explore as](https://aws-experience.com/emea/smb/events/series/get-hands-on-with-amazon-eks?trk=4a9b4147-2490-4c63-bc9f-f8a84b122c8c&sc_channel=el) melhores práticas por meio de workshops do Amazon EKS.

Este guia fornece conselhos sobre a proteção de informações, sistemas e ativos que dependem do EKS e, ao mesmo tempo, agrega valor comercial por meio de avaliações de risco e estratégias de mitigação. A orientação aqui contida faz parte de uma série de guias de melhores práticas que a AWS está publicando para ajudar os clientes a implementar o EKS de acordo com as melhores práticas. Guias de desempenho, excelência operacional, otimização de custos e confiabilidade estarão disponíveis nos próximos meses.

## Como usar este guia
<a name="how-to-use-this-guide"></a>

Este guia é destinado a profissionais de segurança responsáveis por implementar e monitorar a eficácia dos controles de segurança para clusters EKS e as cargas de trabalho que eles suportam. O guia está organizado em diferentes áreas temáticas para facilitar o consumo. Cada tópico começa com uma breve visão geral, seguida por uma lista de recomendações e melhores práticas para proteger seus clusters EKS. Os tópicos não precisam ser lidos em uma ordem específica.

## Entendendo o modelo de responsabilidade compartilhada
<a name="understanding-the-shared-responsibility-model"></a>

Segurança e conformidade são consideradas responsabilidades compartilhadas ao usar um serviço gerenciado como o EKS. De um modo geral, a AWS é responsável pela segurança “da” nuvem, enquanto você, o cliente, é responsável pela segurança “na” nuvem. Com o EKS, a AWS é responsável pelo gerenciamento do plano de controle do Kubernetes gerenciado pelo EKS. Isso inclui os nós do plano de controle do Kubernetes, o banco de dados ETCD e outras infraestruturas necessárias para que a AWS forneça um serviço seguro e confiável. Como consumidor do EKS, você é o principal responsável pelos tópicos deste guia, por exemplo, IAM, segurança de pod, segurança de tempo de execução, segurança de rede e assim por diante.

Quando se trata de segurança da infraestrutura, a AWS assumirá responsabilidades adicionais à medida que você migrar de trabalhadores autogerenciados para grupos de nós gerenciados e para o Fargate. Por exemplo, com o Fargate, a AWS se torna responsável por proteger o subjacente instance/runtime usado para executar seus pods.

 **Modelo de responsabilidade compartilhada - Fargate** 

![\[Modelo de responsabilidade compartilhada - Fargate\]](http://docs.aws.amazon.com/pt_br/eks/latest/best-practices/images/security/SRM-EKS.jpg)


A AWS também assumirá a responsabilidade de manter a AMI otimizada do EKS atualizada com as versões de patch e patches de segurança do Kubernetes. Os clientes que usam grupos de nós gerenciados (MNG) são responsáveis por atualizar seus grupos de nós para a AMI mais recente por meio da API EKS, CLI, Cloudformation ou console da AWS. Além disso, ao contrário do Fargate, não MNGs escalará automaticamente sua infraestrutura/cluster. [https://spot.io/product/ocean](https://spot.io/product/ocean)

 **Modelo de Responsabilidade Compartilhada - MNG** 

![\[Modelo de Responsabilidade Compartilhada - MNG\]](http://docs.aws.amazon.com/pt_br/eks/latest/best-practices/images/security/SRM-MNG.jpg)


Antes de projetar seu sistema, é importante saber onde está a linha de demarcação entre suas responsabilidades e o provedor do serviço (AWS).

Para obter informações adicionais sobre o modelo de responsabilidade compartilhada, consulte https://aws.amazon.com/compliance/shared-responsibility-model/

## Introdução
<a name="introduction"></a>

Há várias áreas de melhores práticas de segurança que são pertinentes ao usar um serviço gerenciado do Kubernetes, como o EKS:
+ Gerenciamento de Identidade e Acesso
+ Segurança do pod
+ Segurança em tempo de execução
+ Segurança de rede
+ Multilocação
+ Conta múltipla para locação múltipla
+ Controles de Detective
+ Segurança da infraestrutura
+ Criptografia de dados e gerenciamento de segredos
+ Conformidade regulatória
+ Resposta a incidentes e análise forense
+ Segurança de imagem

Como parte do projeto de qualquer sistema, você precisa pensar nas implicações de segurança e nas práticas que podem afetar sua postura de segurança. Por exemplo, você precisa controlar quem pode realizar ações em relação a um conjunto de recursos. Você também precisa da capacidade de identificar rapidamente incidentes de segurança, proteger seus sistemas e serviços contra acesso não autorizado e manter a confidencialidade e a integridade dos dados por meio da proteção de dados. Ter um conjunto de processos bem definido e ensaiado para responder a incidentes de segurança também melhorará sua postura de segurança. Essas ferramentas e técnicas são importantes porque ajudam a sustentar objetivos como evitar perdas financeiras ou cumprir obrigações regulatórias.

A AWS ajuda as organizações a atingirem suas metas de segurança e conformidade oferecendo um rico conjunto de serviços de segurança que evoluíram com base no feedback de um amplo conjunto de clientes preocupados com a segurança. Ao oferecer uma base altamente segura, os clientes podem passar menos tempo realizando “trabalhos pesados indiferenciados” e mais tempo alcançando seus objetivos comerciais.

## Feedback
<a name="feedback"></a>

Este guia está sendo lançado GitHub para coletar feedback direto e sugestões da EKS/Kubernetes comunidade em geral. Se você tem uma prática recomendada que acha que devemos incluir no guia, registre um problema ou envie um PR no GitHub repositório. Nossa intenção é atualizar o guia periodicamente à medida que novos recursos são adicionados ao serviço ou quando uma nova prática recomendada evolui.

## Outras fontes de leitura
<a name="further-reading"></a>

 [Whitepaper de segurança do Kubernetes](https://github.com/kubernetes/sig-security/blob/main/sig-security-external-audit/security-audit-2019/findings/Kubernetes%20White%20Paper.pdf), patrocinado pelo Grupo de Trabalho de Auditoria de Segurança, este whitepaper descreve os principais aspectos da superfície de ataque e da arquitetura de segurança do Kubernetes com o objetivo de ajudar os profissionais de segurança a tomar decisões sólidas de design e implementação.

O CNCF também publicou um [white paper](https://github.com/cncf/tag-security/blob/efb183dc4f19a1bf82f967586c9dfcb556d87534/security-whitepaper/v2/CNCF_cloud-native-security-whitepaper-May2022-v2.pdf) sobre segurança nativa na nuvem. O paper examina como o cenário tecnológico evoluiu e defende a adoção de práticas de segurança que se alinhem aos DevOps processos e metodologias ágeis.

## Ferramentas e recursos
<a name="tools-and-resources"></a>

 [Workshop de imersão em segurança do Amazon EKS](https://catalog.workshops.aws/eks-security-immersionday/en-US)