Kubernetes Security

• 以前使用 Kubernetes 的经验

观众

• DevOps 工程师
• 开发 人员

Kubernetes提供一个集群和其应用的安全功能。 然而,盒子外的设置可能不会对黑客和不故意有害的参与者提供完整的保护。

由教练领导的现场培训(在线或在线)旨在为希望在默认安全设置之外获得一个集群的工程师提供。

在本研讨会结束后,参与者将能够:

• 了解由默认 Kubernetes 安装暴露的漏洞。
• 防止未经授权的访问 API、数据库和其他服务。
• 保护一个 Kubernetes 集群免受意外或恶意访问。
• 制定全面的安全政策和一系列最佳实践。

课程格式

• 互动讲座和讨论。
• 很多练习和练习。
• 在现场实验室环境中进行手动实施。

课程定制选项

• 要申请此课程的定制培训,请联系我们安排。

介绍

Kubernetes API 和安全功能概述

• 访问 HTTPS 端点、Kubernetes API、节点和容器
• Kubernetes 身份验证和授权功能

黑客如何攻击您的集群

• 黑客如何找到您的 etcd 端口、Kubernetes API 和其他服务
• 黑客如何在容器内执行代码
• 黑客如何提升其权限
• 案例研究：特斯拉如何暴露其 Kubernetes 集群

设置 Kubernetes

• 选择发行版
• 安装 Kubernetes

使用凭据和机密

• 凭据生命周期
• 了解机密
• 分发凭据

控制对 Kubernetes API 的访问

• 使用 TLS 加密 API 流量
• 实现 API 服务器的身份验证
• 为不同角色实现授权

控制用户和工作负载功能

• 了解 Kubernetes 策略
• 限制资源使用
• 限制容器权限
• 限制网络访问

控制对节点的访问

• 分离工作负载访问

保护群集组件

• 限制对 etcd 的访问
• 禁用功能
• 更改、删除和撤销凭据和令牌

保护容器映像

• 管理 Docker 和 Kubernetes 映像
• 构建安全映像

控制 Access 到云资源

• 了解云平台元数据
• 限制对云资源的权限

评估第三方集成

• 最小化授予第三方软件的权限
• 评估可以创建 Pod 的组件

建立安全策略

• 查看现有安全配置文件
• 创建安全模型
• 云原生安全注意事项
• 其他最佳做法

加密非活动数据

• 加密备份
• 加密整个磁盘
• 在 etcd 中加密机密资源

监视活动

• 启用审核日志记录
• 审计和管理软件供应链
• 订阅安全警报和更新

总结和结论