Kubernetes Security

• Wcześniejsze doświadczenie w pracy z Kubernetes

Publiczność

• DevOps inżynierów
• Deweloperzy

Kubernetes oferuje funkcje zabezpieczania klastra i jego aplikacji. Gotowe ustawienia mogą jednak nie zapewniać pełnej ochrony przed hakerami i nieumyślnie szkodliwymi podmiotami.

Szkolenie na żywo prowadzone przez instruktora (na miejscu lub zdalnie) jest przeznaczone dla inżynierów, którzy chcą zabezpieczyć klaster Kubernetes poza domyślnymi ustawieniami zabezpieczeń.

Po zakończeniu tego szkolenia uczestnicy będą w stanie

• Zrozumienie luk w zabezpieczeniach, które są narażone przez domyślną instalację Kubernetes.
• Zapobieganie nieuwierzytelnionemu dostępowi do Kubernetes API, bazy danych i innych usług.
• Ochrona klastra Kubernetes przed przypadkowym lub złośliwym dostępem.
• Opracowanie kompleksowej polityki bezpieczeństwa i zestawu najlepszych praktyk.

Format kursu

• Interaktywny wykład i dyskusja.
• Dużo ćwiczeń i praktyki.
• Praktyczne wdrożenie w środowisku live-lab.

Opcje dostosowywania kursu

• Aby zamówić niestandardowe szkolenie dla tego kursu, skontaktuj się z nami.

Wprowadzenie

Przegląd Kubernetes API i funkcji bezpieczeństwa

• Dostęp do punktów końcowych HTTPS, Kubernetes API, węzłów i kontenerów
• Funkcje uwierzytelniania i autoryzacji Kubernetes

Jak hakerzy atakują klaster

• Jak hakerzy znajdują port etcd, Kubernetes API i inne usługi
• Jak hakerzy wykonująkod wewnątrz kontenera
• Jak hakerzy eskalująswoje uprawnienia
• Studium przypadku: Jak firma Tesla ujawniła swój klaster Kubernetes

Konfiguracja Kubernetes

• Wybór dystrybucji
• Instalacja Kubernetes

Korzystanie z poświadczeń i sekretów

• Cykl życia poświadczeń
• Zrozumienie poświadczeń tajnych
• Dystrybucja poświadczeń

Kontrola dostępu do interfejsu API Kubernetes

• Szyfrowanie ruchu API za pomocą TLS
• Wdrażanie uwierzytelniania dla serwerów API
• Wdrażanie autoryzacji dla różnych ról

Kontrolowanie możliwości użytkownika i obciążenia

• Zrozumienie zasad Kubernetes
• Ograniczanie użycia zasobów
• Ograniczanie uprawnień kontenera
• Ograniczanie dostępu do sieci

Kontrolowanie dostępu do węzłów

• Rozdzielenie dostępu do obciążenia

Ochrona składników klastra

• Ograniczanie dostępu do etcd
• Wyłączanie funkcji
• Zmiana, usuwanie i unieważnianie poświadczeń i tokenów

Zabezpieczanie obrazu kontenera

• Zarządzanie obrazami Docker i Kubernetes
• Tworzenie bezpiecznych obrazów

Kontrolowanie Access do zasobów w chmurze

• Zrozumienie metadanych platformy chmurowej
• Ograniczanie uprawnień do zasobów w chmurze

Ocena integracji stron trzecich

• Minimalizacja uprawnień przyznawanych oprogramowaniu innych firm
• Ocena komponentów, które mogą tworzyć pody

Ustanowienie polityki bezpieczeństwa

• Przegląd istniejącego profilu zabezpieczeń
• Tworzenie modelu zabezpieczeń
• Rozważania dotyczące zabezpieczeń natywnych dla chmury
• Inne najlepsze praktyki

Szyfrowanie nieaktywnych danych

• Szyfrowanie kopii zapasowych
• Szyfrowanie całego dysku
• Szyfrowanie tajnych zasobów w etcd

Monitorowanie aktywności

• Włączanie rejestrowania audytów
• Audytowanie i zarządzanie łańcuchem dostaw oprogramowania
• Subskrybowanie alertów bezpieczeństwa i aktualizacji

Podsumowanie i wnioski