Saltar al contenido principal
MKA1 tiene controles de cifrado activos en el entorno de producción desplegado. Verificamos el cifrado en reposo para los secretos de Kubernetes y los volúmenes respaldados por EBS, y el cifrado en tránsito para el edge público y el clúster de producción CNPG/PostgreSQL.

Qué está activo

Cifrado en reposo

Los siguientes controles fueron verificados en el entorno de producción en vivo:
  • El cifrado envelope de secretos EKS está activo en mk1-eks-production.
  • El clúster EKS en vivo reporta encryptionConfig para el tipo de recurso secrets.
  • El clúster en vivo reporta una clave de proveedor KMS ARN: arn:aws:kms:us-west-2:REDACTED:key/5d84bfa7-REDACTED.
  • La clase de almacenamiento de producción ebs-sc utiliza el provisionador ebs.csi.aws.com con encrypted: "true" y type: gp3.
La infraestructura desplegada también declara almacenamiento respaldado por EBS cifrado:
  • infra-resources/mk1/resources/storage/ebs-storage-class.yaml establece encrypted: "true" en ebs-sc.
  • infra-resources/helm/cnpg/kube/cluster-production.yaml usa storageClass: ebs-sc para el clúster de PostgreSQL de producción.

Cifrado en tránsito

Los siguientes controles fueron verificados en el entorno de producción en vivo:
  • apigw.mka1.com:443 negoció TLSv1.3 con el conjunto de cifrado TLS_AES_128_GCM_SHA256.
  • livekit.mka1.com:443 negoció TLSv1.3 con el conjunto de cifrado TLS_AES_128_GCM_SHA256.
  • Ambas comprobaciones públicas de TLS se completaron con la verificación de certificado OK.
  • El ingreso público de Kong está configurado con alb.ingress.kubernetes.io/ssl-policy: ELBSecurityPolicy-TLS13-1-2-2021-06.
  • El clúster CNPG/PostgreSQL en vivo reporta ssl_min_protocol_version: TLSv1.3 y ssl_max_protocol_version: TLSv1.3.
  • El clúster CNPG/PostgreSQL en vivo reporta material de certificado activo en clientCASecret, serverCASecret, serverTLSSecret y replicationTLSSecret.
La infraestructura desplegada también declara la política de ingreso pública compatible con TLS:
  • infra-resources/kong/resources/ingress-proxy.yaml establece alb.ingress.kubernetes.io/ssl-policy: ELBSecurityPolicy-TLS13-1-2-2021-06.

Cómo lo validamos

Validamos el estado desplegado con scripts propios del repositorio en infra-resources e inspección directa del clúster en vivo. tools/compliance/verify_storage_encryption.sh captura evidencia de cifrado de almacenamiento ejecutando:
tools/compliance/verify_tls13.sh captura evidencia pública de TLS ejecutando openssl s_client con -tls1_3 contra cada endpoint público:
También verificamos directamente la configuración del clúster en vivo:

Evidencia

Los siguientes fragmentos saneados son extractos de comprobaciones contra nuestro despliegue de producción en vivo. Preservan las señales de cifrado verificadas y redactan detalles de infraestructura no relacionados.

Cifrado envelope de secretos EKS

Clase de almacenamiento respaldada por EBS cifrada

Handshake TLS 1.3 del gateway API público

Handshake TLS 1.3 de LiveKit

Extractos verificados del clúster en vivo