Kubernetes Security

• 以前使用 Kubernetes 的經驗

觀眾

• DevOps 工程師
• 開發人員

Kubernetes提供一个集群和其应用的安全功能。 然而,盒子外的设置可能不会对黑客和不故意有害的参与者提供完整的保护。

由教练领导的现场培训(在线或在线)旨在为希望在默认安全设置之外获得一个集群的工程师提供。

在本研讨会结束后,参与者将能够:

• 了解由默认 Kubernetes 安装暴露的漏洞。
• 防止未经授权的访问 API、数据库和其他服务。
• 保护一个 Kubernetes 集群免受意外或恶意访问。
• 制定全面的安全政策和一系列最佳实践。

课程格式

• 互动讲座和讨论。
• 很多练习和练习。
• 在现场实验室环境中进行手动实施。

课程定制选项

• 要申请此课程的定制培训,请联系我们安排。

介紹

Kubernetes API 和安全功能概述

• 訪問 HTTPS 端點、Kubernetes API、節點和容器
• Kubernetes 身份驗證和授權功能

駭客如何攻擊您的集群

• 駭客如何找到您的etcd埠、Kubernetes API 和其他服務
• 駭客如何在容器內執行代碼
• 駭客如何提升其許可權
• 案例研究：特斯拉如何暴露其 Kubernetes 集群

設定Kubernetes

• 選擇發行版
• 安裝 Kubernetes

使用憑據和機密

• 憑據生命週期
• 了解機密
• 分發憑據

控制對 Kubernetes API 的訪問

• 使用 TLS 加密 API 流量
• 實現 API 伺服器的身份驗證
• 為不同角色實現授權

控制使用者和工作負載功能

• 瞭解 Kubernetes 策略
• 限制資源使用
• 限制容器許可權
• 限制網路訪問

控制對節點的訪問

• 分離工作負載訪問

保護群集元件

• 限制對 etcd 的訪問
• 禁用功能
• 更改、刪除和撤銷憑據和令牌

保護容器映像

• 管理 Docker 和 Kubernetes 映射
• 構建安全映像

控制 Access 到雲資源

• 瞭解雲平台元數據
• 限制對雲資源的許可權

評估第三方集成

• 最小化授予第三方軟體的許可權
• 評估可以創建Pod的元件

建立安全策略

• 查看現有安全配置檔
• 創建安全模型
• 雲原生安全注意事項
• 其他最佳做法

加密非活動數據

• 加密備份
• 加密整個磁碟
• 在 etcd 中加密機密資源

監視活動

• 啟用審核記錄
• 審計和管理軟體供應鏈
• 訂閱安全警報和更新

總結和結論