You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Acceso de red al servidor API (Plano de Control) | Todo acceso público al plano de control del Kubernetes en Internet no está permitido y es controlado por listas de control de acceso a la red estrictas a un conjunto de direcciones IP necesarias para administrar el clúster.|
70
-
Acceso a la red de los Nodos | Los nodosdeben ser configurados para _sólo_ aceptar conexiones (por medio de listas de control de acceso a la red) desde el plano de control en los puertos especificados y aceptar conexiones para servicios en Kubernetes del tipo NodePort y LoadBalancer. Si es posible, estos nodos no deben exponerse públicamente en Internet.
69
+
Acceso de red al Plano de Control | Todo acceso público al {{< glossary_tooltip text="plano de control" term_id="control-plane" >}} del Kubernetes en Internet no está permitido y es controlado por listas de control de acceso a la red estrictas a un conjunto de direcciones IP necesarias para administrar el clúster.|
70
+
Acceso a la red de los Nodos | Los {{< glossary_tooltip text="nodos" term_id="node" >}} deben ser configurados para _solo_ aceptar conexiones (por medio de listas de control de acceso a la red) desde el plano de control en los puertos especificados y aceptar conexiones para servicios en Kubernetes del tipo NodePort y LoadBalancer. Si es posible, estos nodos no deben exponerse públicamente en Internet.
71
71
Acceso a la API de Kubernetes del proveedor de la nube | Cada proveedor de la nube debe dar un conjunto de permisos al plano de control y nodos del Kubernetes. Es mejor otorgar al clúster el permiso de acceso al proveedor de nube siguiendo el [principio de mínimo privilegio](https://es.wikipedia.org/wiki/Principio_de_m%C3%ADnimo_privilegio) para los recursos que necesite administrar. La [documentación del Kops](https://github.com/kubernetes/kops/blob/master/docs/iam_roles.md#iam-roles) ofrece información sobre las políticas y roles de IAM.
72
-
Acceso a etcd | El acceso a etcd (banco de datos de Kubernetes) debe ser limitado apenas al plano de control. Dependiendo de su configuración, debería intentar usar etcd sobre TLS. Puede encontrar mas información en la [documentación de etcd](https://github.com/etcd-io/etcd/tree/master/Documentation).
73
-
Encriptación etcd | Siempre que sea posible, es una buena práctica encriptar todas las unidades de almacenamiento, etcd mantiene el estado de todo el clúster (incluidos los Secretos), su disco debe estar encriptado.
72
+
Acceso a etcd | El acceso a {{< glossary_tooltip text="etcd" term_id="etcd" >}} (banco de datos de Kubernetes) debe ser limitado apenas al plano de control. Dependiendo de su configuración, debería intentar usar etcd sobre TLS. Puede encontrar mas información en la [documentación de etcd](https://github.com/etcd-io/etcd/tree/master/Documentation).
73
+
Encriptación etcd | Siempre que sea posible, es una buena práctica encriptar todas las unidades de almacenamiento. Etcd mantiene el estado de todo el clúster (incluidos los Secretos), por lo que su disco debe estar encriptado.
74
74
75
75
{{< /table >}}
76
76
77
77
## Clúster
78
78
79
-
Existe dos áreas de preocupación para proteger Kubernetes:
79
+
Existen dos áreas de preocupación para proteger Kubernetes:
80
80
81
81
* Protección de las configuraciones de los componentes del clúster.
82
82
* Protección de las aplicaciones que se ejecutan en el clúster.
@@ -92,7 +92,7 @@ buenas prácticas de seguridad, a continuación sigue estos consejos sobre
92
92
Dependiendo de la superficie de ataque de su aplicación, es posible que desee concentrarse en
93
93
temas de seguridad específicos. Por ejemplo: si está ejecutando un servicio (Servicio A) que es crítico
94
94
en una cadena de otros recursos y otra carga de trabajo separada (Servicio B) que es
95
-
vulnerable a un ataque de sobrecarga de recursos y, en consecuencia, el riesgo de comprometer el Servicio A
95
+
vulnerable a un ataque de sobrecarga de recursos, el riesgo de comprometer el Servicio A
96
96
es alto si no limita las funciones del Servicio B. La siguiente tabla enumera
97
97
áreas de atención de seguridad y recomendaciones para proteger las cargas de trabajo que se ejecutan en Kubernetes:
98
98
@@ -131,7 +131,7 @@ recomendaciones para proteger el código de su aplicación:
131
131
Áreas de Atención para el Código | Recomendación |
132
132
-------------------------| -------------- |
133
133
Acceso solo a través de TLS | Si su código necesita comunicarse a través de TCP, ejecute un handshake TLS con el cliente anticipadamente. Con la excepción de algunos casos, encripte todo lo que está en tránsito. Yendo un paso más allá, es una buena idea cifrar el tráfico de red entre los servicios. Esto se puede hacer a través del proceso de autenticación mutua o [mTLS](https://en.wikipedia.org/wiki/Mutual_authentication), que realiza una verificación bilateral de la comunicación a través de los certificados en los servicios. |
134
-
Limitación de intervalos de puertos de comunicación | Esta recomendación puede ser un poco evidente, pero siempre que sea posible, solo debe exponer los puertos de su servicio que son absolutamente esenciales para la comunicación o la recopilación de métricas. |
134
+
Limitación de rangos de puertos de comunicación | Esta recomendación puede ser un poco evidente, pero siempre que sea posible, solo debe exponer los puertos de su servicio que son absolutamente esenciales para la comunicación o la recopilación de métricas. |
135
135
Seguridad en dependencia de terceros | Es una buena práctica comprobar periódicamente las bibliotecas de terceros de su aplicación en busca de vulnerabilidades de seguridad. Cada lenguaje de programación tiene una herramienta para realizar esta verificación de forma automática. |
136
136
Análisis de código estático | La mayoría de los lenguajes proporcionan una forma de analizar el código en busca de prácticas de codificación potencialmente inseguras. Siempre que sea posible, debe automatizar los escaneos utilizando herramientas que puedan escanear las bases del código en busca de errores de seguridad comunes. Algunas de las herramientas se pueden encontrar en [OWASP Source Code Analysis Tools](https://owasp.org/www-community/Source_Code_Analysis_Tools). |
137
137
Ataques de sondeo dinámico | Existen algunas herramientas automatizadas que puede ejecutar en su servicio para explorar algunos de los ataques más conocidos. Esto incluye la inyección de SQL, CSRF y XSS. Una de las herramientas de análisis dinámico más populares es la [OWASP Zed Attack proxy](https://owasp.org/www-project-zap/). |
@@ -146,7 +146,7 @@ Obtenga más información sobre los temas de seguridad de Kubernetes:
146
146
*[Políticas de red para pods](/docs/concepts/services-networking/network-policies/)
147
147
*[Control de acceso a la API de Kubernetes](/docs/concepts/security/controlling-access)
148
148
*[Protegiendo su clúster](/docs/tasks/administer-cluster/securing-a-cluster/)
149
-
*[Criptografía de datos en tránsito](/docs/tasks/tls/managing-tls-in-a-cluster/) for the control plane
149
+
*[Criptografía de datos en tránsito](/docs/tasks/tls/managing-tls-in-a-cluster/)
150
150
*[Criptografía de datos en reposo](/docs/tasks/administer-cluster/encrypt-data/)
151
151
*[Secretos en Kubernetes](/docs/concepts/configuration/secret/)
0 commit comments