Segurança de container: gestão de chaves

Temos uma pergunta importante para fazer: você deixa a chave da sua casa para o lado de fora ou a vista para todos? Sabemos que a resposta é certamente um NÃO.

Seu celular certamente tem senha e esta também não fica escrita de forma legível num papel na capinha do celular.

E por que então você deixa os seus segredos(senhas e outros dados importantes) expostos?

Se te fizemos pensar sobre essas duas questões, então podemos seguir com nosso artigo sobre segurança de container.

O problema.

Ao injetar um segredo como uma variável de ambiente, você pode especificar o conteúdo completo de um segredo, uma chave JSON específica em um segredo ou uma versão específica de um segredo a ser injetado. Isso ajuda você a controlar os dados sigilosos expostos ao seu contêiner. 

Gestão de segredos

Sobre funções do IAM e ECS

Existe um ponto importante sobre o uso de funções do IAM havendo a distinção de uso de Role de instância do EC2 e o uso de função da Tarefa.

Veja aqui as distinções e note a diferença.

Amazon ECS auto gerenciado com IAM Role instance (Permissão que é fixada a instancia EC2)

Segurança de container: gestão de chaves/segredos

Função da Tarefa (Permissão que é inferida a tarefa do ECS)

Segurança de container: gestão de chaves/segredos

Segurança do EKS

EKS: Criptografia de envelopes

Aqui fazemos uso dos mecanismos do k8s junto ao serviço de gerenciamento de chaves da AWS o KMS. Veja a seguir:

Segurança de container: gestão de chaves/segredos

On GitHub: kubernetes-sigs/aws-encryption-provider.

Mas e o IAM, é possivel fazer uso em EKS?
Sim, claro. Veja como podemos gerenciar o acesso externo via IAM

Segurança de container: gestão de chaves/segredos

Que tal um pouco mais sobre o aws-auth ConfigMap?

  • Mapeia usuários e funções do IAM para assuntos do Kubernetes
  • Integração do AWS IAM e do Kubernetes RBAC
  • Gerencie o controle de acesso no cluster EKS usando o Kubernetes RBACSegurança de container: gestão de chaves/segredos

E assim, estamos quase encerramos esse primeira tour por segurança em containers e serviços gerenciados AWS.

Os materiais estão recheados de referencias, faça proveito disso e mantenha a segurança em dia.