|
1 | 1 | --- |
2 | 2 | title: "Segurança" |
3 | | -weight: 81 |
| 3 | +weight: 85 |
| 4 | +description: > |
| 5 | + Conceitos para manter suas cargas de trabalho cloud native seguras. |
| 6 | +simple_list: true |
4 | 7 | --- |
5 | 8 |
|
| 9 | +Essa seção da documentação do Kubernetes busca ensinar a executar cargas de trabalho |
| 10 | +mais seguras e aspectos essenciais para a manutenção de um cluster Kubernetes seguro. |
| 11 | + |
| 12 | +O Kubernetes é baseado em uma arquitetura cloud native e segue as boas práticas de segurança da informação |
| 13 | +para ambientes cloud native recomendadas pela {{< glossary_tooltip text="CNCF" term_id="cncf" >}}. |
| 14 | + |
| 15 | +Leia [Segurança Cloud Native e Kubernetes](/docs/concepts/security/cloud-native-security/) |
| 16 | +para entender o contexto mais amplo sobre como proteger seu cluster e as aplicações que você está executando nele. |
| 17 | + |
| 18 | +## Mecanismos de segurança do Kubernetes {#security-mechanisms} |
| 19 | + |
| 20 | +O Kubernetes inclui várias APIs e controles de segurança, além de mecanismos |
| 21 | +para definir [políticas](#policies) que podem fazer parte da sua estratégia de gestão da segurança da informação. |
| 22 | + |
| 23 | +### Proteção da camada de gerenciamento |
| 24 | + |
| 25 | +Um mecanismo de segurança fundamental para qualquer cluster Kubernetes é [controlar o acesso à API do Kubernetes](/docs/concepts/security/controlling-access). |
| 26 | + |
| 27 | +O Kubernetes espera que você configure e utilize TLS para fornecer [criptografia de dados em trânsito](/docs/tasks/tls/managing-tls-in-a-cluster/) dentro do control plane e entre o control plane e seus clientes. |
| 28 | +Você também pode habilitar a [criptografia em repouso](/docs/tasks/administer-cluster/encrypt-data/) para os dados armazenados no plano de controle do Kubernetes; isso é diferente de usar criptografia em repouso para os dados das suas próprias cargas de trabalho, o que também pode ser uma boa prática. |
| 29 | + |
| 30 | +### Secrets |
| 31 | + |
| 32 | +A API [Secret](/docs/concepts/configuration/secret/) fornece proteção básica para valores de configuração que exigem confidencialidade. |
| 33 | + |
| 34 | +### Proteção de cargas de trabalho |
| 35 | + |
| 36 | +Aplique os [padrões de segurança de Pods](/docs/concepts/security/pod-security-standards/) para garantir que os Pods e seus contêineres sejam isolados de forma adequada. Você também pode usar [RuntimeClasses](/docs/concepts/containers/runtime-class) para definir isolamento personalizado, se necessário. |
| 37 | + |
| 38 | +As [políticas de rede](/docs/concepts/services-networking/network-policies/) permitem controlar o tráfego de rede entre Pods ou entre Pods e a rede externa ao seu cluster. |
| 39 | + |
| 40 | +Você pode implantar controles de segurança do ecossistema mais amplo para implementar controles preventivos ou de detecção em torno dos Pods, de seus contêineres e das imagens que eles executam. |
| 41 | + |
| 42 | + |
| 43 | +### Admission control {#admission-control} |
| 44 | + |
| 45 | +Os [admission controllers](/docs/reference/access-authn-authz/admission-controllers/) são plugins que interceptam requisições para a API do Kubernetes e podem validá-las ou modificá-las com base em campos específicos da requisição. Projetar esses controladores com cuidado ajuda a evitar interrupções não intencionais à medida que as APIs do Kubernetes mudam entre atualizações de versão. Para considerações de design, consulte [Boas práticas para admission webhooks](/docs/concepts/cluster-administration/admission-webhooks-good-practices/). |
| 46 | + |
| 47 | +### Auditoria |
| 48 | + |
| 49 | +O [log de auditoria](/docs/tasks/debug/debug-cluster/audit/) do Kubernetes fornece um conjunto cronológico de registros relevantes para segurança, documentando a sequência de ações em um cluster. O cluster audita as atividades geradas por usuários, por aplicações que usam a API do Kubernetes e pelo próprio control plane. |
| 50 | + |
| 51 | + |
| 52 | +## Segurança do provedor de nuvem |
| 53 | + |
| 54 | +{{% thirdparty-content vendor="true" %}} |
| 55 | + |
| 56 | +Se você estiver executando um cluster Kubernetes em seu próprio hardware ou em um provedor de nuvem diferente, consulte sua documentação para conhecer as melhores práticas de segurança. |
| 57 | +Aqui estão links para a documentação de segurança de alguns provedores de nuvem populares: |
| 58 | + |
| 59 | +{{< table caption="Cloud provider security" >}} |
| 60 | + |
| 61 | +Provedor de IaaS | Link | |
| 62 | +-------------------- | ------------ | |
| 63 | +Alibaba Cloud | https://www.alibabacloud.com/trust-center | |
| 64 | +Amazon Web Services | https://aws.amazon.com/security | |
| 65 | +Google Cloud Platform | https://cloud.google.com/security | |
| 66 | +Huawei Cloud | https://www.huaweicloud.com/intl/en-us/securecenter/overallsafety | |
| 67 | +IBM Cloud | https://www.ibm.com/cloud/security | |
| 68 | +Microsoft Azure | https://docs.microsoft.com/en-us/azure/security/azure-security | |
| 69 | +Oracle Cloud Infrastructure | https://www.oracle.com/security | |
| 70 | +Tencent Cloud | https://www.tencentcloud.com/solutions/data-security-and-information-protection | |
| 71 | +VMware vSphere | https://www.vmware.com/solutions/security/hardening-guides | |
| 72 | + |
| 73 | +{{< /table >}} |
| 74 | + |
| 75 | +## Políticas {#policies} |
| 76 | + |
| 77 | +Você pode definir políticas de segurança usando mecanismos nativos do Kubernetes, como [NetworkPolicy](/docs/concepts/services-networking/network-policies/) (controle declarativo sobre filtragem de pacotes de rede) ou [ValidatingAdmissionPolicy](/docs/reference/access-authn-authz/validating-admission-policy/) (restrições declarativas sobre quais alterações alguém pode fazer usando a API do Kubernetes). |
| 78 | + |
| 79 | +No entanto, você também pode contar com implementações de políticas do ecossistema mais amplo em torno do Kubernetes. O Kubernetes fornece mecanismos de extensão que permitem a esses projetos do ecossistema implementar seus próprios controles de política para revisão de código-fonte, aprovação de imagens de contêiner, controles de acesso à API, redes e muito mais. |
| 80 | + |
| 81 | +Para mais informações sobre mecanismos de políticas e Kubernetes, consulte [Políticas](/docs/concepts/policy/). |
| 82 | + |
| 83 | + |
| 84 | +## {{% heading "whatsnext" %}} |
| 85 | + |
| 86 | +Saiba mais sobre tópicos relacionados à segurança no Kubernetes: |
| 87 | + |
| 88 | +* [Protegendo seu cluster](/docs/tasks/administer-cluster/securing-a-cluster/) |
| 89 | +* [Vulnerabilidades conhecidas](/docs/reference/issues-security/official-cve-feed/) no Kubernetes (e links para mais informações) |
| 90 | +* [Criptografia de dados em trânsito](/docs/tasks/tls/managing-tls-in-a-cluster/) para a camada de gerenciamento |
| 91 | +* [Criptografia de dados em repouso](/docs/tasks/administer-cluster/encrypt-data/) |
| 92 | +* [Controlando o acesso à API do Kubernetes](/docs/concepts/security/controlling-access) |
| 93 | +* [Políticas de rede](/docs/concepts/services-networking/network-policies/) para Pods |
| 94 | +* [Secrets no Kubernetes](/docs/concepts/configuration/secret/) |
| 95 | +* [Padrões de segurança de Pods](/docs/concepts/security/pod-security-standards/) |
| 96 | +* [RuntimeClasses](/docs/concepts/containers/runtime-class) |
| 97 | + |
| 98 | + |
| 99 | +Entenda o contexto: |
| 100 | + |
| 101 | +<!-- if changing this, also edit the front matter of content/en/docs/concepts/security/cloud-native-security.md to match; check the no_list setting --> |
| 102 | +* [Segurança Cloud Native e Kubernetes](/docs/concepts/security/cloud-native-security/) |
| 103 | + |
| 104 | +Obtenha a certificação: |
| 105 | + |
| 106 | +* [Certified Kubernetes Security Specialist](https://training.linuxfoundation.org/certification/certified-kubernetes-security-specialist/) — certificação e curso oficial de treinamento. |
| 107 | + |
| 108 | +Leia mais nesta seção: |
| 109 | + |
0 commit comments