Proteja a colaboração da equipe no EKS com o Gatekeeper – Garantindo a segurança da colaboração no EKS.

Equilibrar a segurança com a colaboração contínua da equipe é fundamental em ambientes modernos nativos da nuvem, como o Amazon Elastic Kubernetes Service (EKS). Embora o Kubernetes ofereça flexibilidade para escalar operações, ele também apresenta riscos potenciais ao aplicar políticas e controle de acesso. Digitar Guardião — uma ferramenta poderosa projetada para gerenciar e implementar políticas em clusters EKS, tornando a colaboração multifuncional segura e eficiente.

O que é porteiro?

Gatekeeper: uma extensão do Agente de Política Aberta (OPA) — é um mecanismo de política para Kubernetes que ajuda a aplicar regras personalizadas no nível da API. Ao integrar-se aos controladores de admissão Kubernetes, o Gatekeeper permite que os administradores definam políticas de acesso refinadas, garantindo que apenas usuários autorizados possam executar ações específicas, mantendo a integridade dos recursos compartilhados.

Como o Gatekeeper melhora a colaboração?

1. Aplicação do controle de acesso baseado em função (RBAC).: o Gatekeeper fortalece o RBAC nativo do Kubernetes adicionando uma camada adicional de políticas personalizadas para definir com precisão quem pode acessar ou modificar recursos. Isso significa que cada equipe multifuncional pode receber permissões personalizadas, garantindo que interajam apenas com recursos relevantes para sua função.
2. Política como código: com o Gatekeeper, as políticas são gerenciadas como código, tornando-as controladas por versão e auditáveis. As equipes podem colaborar para definir políticas que atendam aos padrões de segurança e, ao mesmo tempo, permitir flexibilidade operacional. Por exemplo, os desenvolvedores podem definir políticas para namespaces de aplicativos enquanto as equipes de segurança aplicam políticas de segurança de rede ou pod, tudo dentro da mesma estrutura.
3. Evite configurações incorretas: o Gatekeeper garante que as equipes sigam as melhores práticas e regras de conformidade, evitando configurações incorretas em clusters EKS. Ele pode bloquear ou controlar automaticamente ações arriscadas, como implantação de imagens de contêiner não aprovadas, acesso a namespaces confidenciais ou criação de pods elevados.
4. Automatize grades de proteção para equipes: Com políticas predefinidas, o Gatekeeper automatiza a aplicação de regras operacionais e de acesso, permitindo que equipes multifuncionais se concentrem em suas tarefas principais sem se preocupar em violar as diretrizes de segurança. Isso ajuda a manter a agilidade e ao mesmo tempo manter a conformidade.

Desbloqueie a colaboração entre equipes com confiança

O Gatekeeper ajuda a desbloquear o potencial de equipes multifuncionais em um ambiente EKS, encontrando o equilíbrio certo entre controle de acesso e colaboração. As equipes de segurança podem implementar políticas rígidas, enquanto os desenvolvedores e DevOps podem construir e implantar livremente de acordo com as diretrizes. Com o Gatekeeper, a colaboração se torna simples e segura, permitindo que suas equipes inovem com mais rapidez sem comprometer a segurança.

Em um mundo onde os ambientes nativos da nuvem exigem velocidade e segurança, o Gatekeeper oferece a solução perfeita para impor o controle de acesso e, ao mesmo tempo, promover a colaboração em equipe.

Habilitando a colaboração segura entre unidades de negócios com isolamento de namespace

Em grandes organizações onde várias unidades de negócios (BUs) trabalham em projetos diferentes, é fundamental garantir a colaboração e, ao mesmo tempo, manter a segurança e o controle de acesso. Kubernetes e Gatekeeper fornecem uma maneira poderosa de isolar e gerenciar essa colaboração com segurança. Usando Namespaces do Kubernetes e políticas Gatekeeper, cada BU pode operar de forma independente dentro de seu próprio ambiente, compartilhando a mesma infraestrutura EKS. Veja como essa abordagem funciona:

1. Isolamento de namespace com prefixos BU (por exemplo, BU-1, BU-2)– Cada unidade de negócios recebe seu próprio namespace, precedido de seu nome, como BU-1, BU-2, etc. Isso fornece um limite claro para recursos e operações dentro de cada namespace, garantindo que as cargas de trabalho específicas da BU permaneçam isoladas. Esta estratégia permite que cada UN se concentre nas suas tarefas específicas sem o risco de interferir no trabalho ou nos dados de outras unidades de negócio.
2. Operações CURD baseadas em funções dentro de seu namespace: O guardião dita CRUD (Criar, Ler, Atualizar, Excluir) permissões, garantindo que cada BU possa gerenciar seus próprios recursos dentro do namespace atribuído. Por exemplo, a BU-1 terá controle total sobre recursos como implementações, serviços e aplicações dentro do namespace BU-1, enquanto a BU-2 opera em seu próprio namespace BU-2. Isto dá a cada BU autonomia para gerir e dimensionar as suas operações de forma independente, ao mesmo tempo que adere às políticas de segurança de toda a empresa.
3. Restringir o acesso fora do namespace: O gatekeeper impõe políticas rígidas para impedir acesso ou operações fora do namespace designado de uma BU. Por exemplo, se o BU-1 tentar interagir com recursos no namespace BU-2, o Gatekeeper negará automaticamente a solicitação. Isto garante que dados e operações sensíveis numa BU permaneçam inacessíveis a outras BUs, a menos que seja explicitamente permitido, reforçando a segurança e a privacidade.

Explicação:

• Cluster EKS compartilhado: representa o ambiente Kubernetes compartilhado no qual todas as unidades de negócios (BUs) colaboram.
• Namespaces de BU: Cada unidade de negócios (BU-1, BU-2, BU-3) possui seu próprio namespace para isolamento.
• Acesso limitado: as políticas do Gatekeeper restringem o acesso entre namespaces. Nenhuma BU pode acessar ou manipular recursos no namespace de outra BU.
• Operações CRUD: Cada BU pode executar operações de criação, leitura, atualização e exclusão somente dentro de seu próprio namespace.
• Aplicação da política de gatekeeper– As políticas do Gatekeeper impõem o controle de acesso e garantem que as operações sejam restritas ao namespace apropriado.

Cenário do mundo real

Por exemplo, considere a BU-1 como a equipe de operações que trabalha no gerenciamento de infraestrutura e a BU-2 como a equipe de produtos que envia novos recursos. Cada unidade opera dentro de seu próprio namespace (BU-1, BU-2), garantindo que seus recursos e tarefas não entrem em conflito. Existem políticas de gatekeeper para garantir que nenhuma operação da BU-1 afete os recursos da BU-2 e vice-versa. Esta configuração permite que ambas as equipes colaborem em um ambiente Kubernetes compartilhado, mantendo limites operacionais claros

Conclusão: gatekeeper para colaboração segura entre BUs

Usar o Gatekeeper para impor o controle de acesso baseado em namespace permite uma colaboração perfeita entre unidades de negócios (BUs), ao mesmo tempo que mantém políticas de segurança fortes. Cada BU opera dentro de seus próprios limites definidos (BU-1, BU-2, etc.), garantindo operações focadas e seguras. Esta abordagem permite que as organizações possibilitem a colaboração ágil sem sacrificar o controle ou a segurança, tornando-a uma solução ideal para gerenciar equipes multifuncionais em um ambiente EKS.

Adoraríamos saber o que você pensa. Faça uma pergunta, comente abaixo e fique conectado com a Cisco Security nas redes sociais!

Canais sociais de segurança da Cisco

Instagram
Facebook
Twitter
LinkedIn

Compartilhar: