Segurança de container — Gestão de Chaves/Segredos
Deixa eu ser direto aqui. Você não deixa a chave da sua casa para o lado de fora, ou a vista para todos não é mesmo ? Seu celular certamente tem senha e esta tambem não fica escrita de forma legivel num papel na capinha do celular…
E por que diabos, voce deixa os seus secredos(Senhas e outros dados impostantes) expostos ?
Okay, já lancei minha irá. Vamos voltar ao simples…
O problema…
Ao injetar um segredo como uma variável de ambiente, você pode especificar o conteúdo completo de um segredo, uma chave JSON específica em um segredo ou uma versão específica de um segredo a ser injetado. Isso ajuda você a controlar os dados sigilosos expostos ao seu contêiner, então…
Gestão de segredos
- Não armazene segredos em imagens de container ou código-fonte
• Injetar segredos em containers durante a execução - Considere usar AWS Secrets Manager ou AWS Systems Manager Parameter Store
- Para segredos do Kubernetes no Amazon EKS, use criptografia de envelope
- HashiCorp Vault integration to Amazon EKS (AWS Quick Start)
Sobre funções do IAM e ECS
Existe um ponto importante sobre o uso de funções do IAM havendo a distinção de uso de Role de instância do EC2 e o uso de função da Tarefa.
Veja aqui as distinções e note a diferença.
Amazon ECS auto gerenciado com IAM Role instance (Permissão que é fixada a instancia EC2)
Função da Tarefa (Permissão que é inferida a tarefa do ECS)
Segurança do EKS
EKS: Criptografia de envelopes
Aqui fazemos uso dos mecanismos do k8s junto ao serviço de gerenciamento de chaves da AWS o KMS. Veja a seguir:
On GitHub: kubernetes-sigs/aws-encryption-provider
Mas e o IAM, é possivel fazer uso em EKS ?
Sim, claro. Veja como podemos gerenciar o acesso externo via IAM
Que tal um pouco mais sobre o aws-auth ConfigMap ?
- Mapeia usuários e funções do IAM para assuntos do Kubernetes
- Integração do AWS IAM e do Kubernetes RBAC
- Gerencie o controle de acesso no cluster EKS usando o Kubernetes RBAC
E assim, terminamos esse primeiro tour por segurança em containers e serviços gerenciados AWS.
Os materias estão lotados de referencias, faça proveito disso e aproveito para deixar uma dica, critica ou duvida aqui nos comentarios. Havendo sujestão, grita aqui!!
Forte Abraço
