Kubernetes
Autenticação e Administração do Cluster
IdP externo (OIDC) – integre a API Server a um provedor de identidade (Okta, Keycloak, Azure AD) para autenticar usuários.
Gerenciamento de certificados – centralize a emissão/rotação (cert‑manager, HashiCorp Vault PKI).
Contas de usuário – sempre personalizadas; proíba contas genéricas ou compartilhadas.
ServiceAccounts – nomeie‑as de forma indicativa (
sa-readonly-logs
) e limite‑as ao estritamente necessário.
2 · Autorização (RBAC)
Modelo de papéis por cluster – defina funções, grupos e namespaces antes do go‑live.
Granularidade por namespace – atribua permissões dentro do namespace do projeto; nunca diretamente em nível de cluster, salvo justificativa.
ServiceAccounts exclusivas – um serviço ⇢ uma ServiceAccount ⇢ um Role/RoleBinding.
Acesso de desenvolvedores a produção – requer aprovação formal da equipe de segurança.
Proibições
User impersonation (
--as
)Autenticação anônima, exceto para
/healthz
,/readyz
,/livez
mediante acordo.
PAM/Bastion – administradores devem acessar API Server e nós via gerenciamento de acesso privilegiado.
Auditoria de RBAC – rode KubiScan ou Krane periodicamente.
3 · Segredos
Armazenamento protegido – HashiCorp Vault, CyberArk Conjur ou etcd encrypted at rest.
Injeção em pods –
volumeMount
ousecretKeyRef
; nunca hard‑code.Ciclo de vida – rotação automática e remoção de segredos órfãos.
4 · Segurança da Configuração do Cluster
TLS everywhere – API Server ⇄ kubelet, etcd, webhook, etc.
Políticas admission controllers – OPA/Gatekeeper ou Kyverno.
CIS Kubernetes Benchmark – aplique todo o baseline (exceto PSP depreciado).
Versões recentes – monitore CVEs e atualize componetes frequentemente.
Runtimes de alta isolação – gVisor, Kata Containers, Firecracker para workloads sensíveis.
Auditoria – kube‑bench, kube‑hunter, Kube‑Striker agendados.
5 · Auditoria & Observabilidade
Registre
Mudanças de RBAC
Acesso/criação de segredos
Deploys e alterações de ConfigMaps/Secrets
Alteração de parâmetros do cluster ou do SO
Centralize logs em SIEM fora do cluster.
Ferramentas – Falco, Sysdig Secure, Aqua Starboard, NeuVector, Prisma Cloud.
Dashboards – implemente pipelines de telemetria (WaveScope, Grafana/Loki/Tempo).
6 · Configuração Segura do Sistema Operacional
Acesso via bastion/PAM – sem SSH direto nos nós.
Baseline CIS/NIST – aplique hardening automático (Ansible, Chef InSpec).
Vulnerability scanning – OpenSCAP, Lynis, CVEHound para kernel.
Patch management – atualize kernel e pacotes críticos regularmente.
7 · Segurança de Rede
NetworkPolicy obrigatória – por namespace, princípio do menor privilégio.
Service‑to‑Service mTLS – Istio, Linkerd ou Consul Connect.
Plano de controle isolado – componentes internos em VLAN dedicada, sem exposição direta à Internet.
WAF – inspecione todo tráfego externo que entra no cluster.
DMZ lógica – separe nós que acessam Internet dos nós only‑internal.
Configuração Segura de Workloads
yamlCopiarEditarsecurityContext:
runAsUser: 1000 # nunca root (UID 0)
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: [ "ALL" ] # adicione apenas as necessárias
Proibições:
privileged: true
,hostPID
,hostIPC
,hostNetwork
,hostPath
.Limites de recursos – CPU e memória mínimos viáveis.
Profiles – seccomp, AppArmor ou SELinux; gerar com Udica/oci‑seccomp‑bpf.
Auditoria – Kics, kubeaudit, Kubescape, Conftest, Kubesec, Checkov.
9 · Desenvolvimento Seguro de Imagens
Evite
sudo
noRUN
; prefiraCOPY
aADD
.Fixe versões de pacotes (
apt-get install nginx=1.26.0-1
).Gere e valide SBOM (Syft, SPDX).
Nunca armazene segredos em Dockerfile.
Remova utilitários de rede (wget, curl, nc) de runtime.
Use
.dockerignore
e multi‑stage builds com poucas camadas.Trabalhe com
WORKDIR
absoluto; evitecd
.Não use a tag
latest
; assine imagens (Cosign, Notary v2).Varredura automática: Hadolint, Trivy, Clair, Grype, Kics.
Atualizado
Isto foi útil?