Schița de curs
Introducere
Configurarea clusterului
- Utilizați politicile de securitate a rețelei pentru a restricționa accesul la nivel de cluster
- Utilizați benchmark-ul CIS pentru a revizui configurația de securitate a componentelor Kubernetes (etcd, kubelet, kubedns, kubeapi)
- Configurați în mod corespunzător obiectele Ingress cu control de securitate
- Protejați metadatele și punctele finale ale nodurilor
- Reduceți la minimum utilizarea și accesul la elementele GUI
- Verificați binarele platformei înainte de implementare
Întărirea clusterelor
- Restricționarea accesului la Kubernetes API
- Utilizați controale de acces bazate pe roluri pentru a minimiza expunerea
- Fiți prudenți în utilizarea conturilor de servicii, de exemplu, dezactivați setările implicite, minimizați permisiunile pentru conturile nou create.
- Actualizați Kubernetes în mod frecvent
Întărirea sistemului
- Minimizarea amprentei sistemului de operare gazdă (reducerea suprafeței de atac)
- Minimizarea rolurilor IAM
- Minimizarea accesului extern la rețea
- Utilizați în mod corespunzător instrumentele de întărire a kernelului, cum ar fi AppArmor, seccomp
Minimizați vulnerabilitățile microserviciilor
- Configurarea domeniilor de securitate adecvate la nivelul sistemului de operare, de exemplu, folosind PSP, OPA, contexte de securitate.
- Gestionarea secretelor kubernetes
- Utilizați sandbox-uri de execuție a containerelor în medii cu mai mulți chiriași (de exemplu, gvisor, containere kata)
- Implementați criptarea de la pod la pod prin utilizarea mTLS
Supply Chain Security
- Minimizarea amprentei imaginii de bază
- Asigurați-vă lanțul de aprovizionare: lista albă a registrelor de imagini permise, semnați și validați imaginile
- Utilizați analiza statică a sarcinilor de lucru ale utilizatorilor (de exemplu, resurse kubernetes, fișiere docker)
- Scanați imaginile pentru vulnerabilități cunoscute
Monitorizare, logare și securitate în timp de execuție
- Efectuați analize comportamentale ale activităților de procesare a syscall și a fișierelor la nivelul gazdei și al containerului pentru a detecta activitățile malițioase
- Detectați amenințările din cadrul infrastructurii fizice, aplicațiilor, rețelelor, datelor, utilizatorilor și sarcinilor de lucru
- Detectați toate fazele atacului, indiferent unde are loc și cum se răspândește acesta
- Efectuați investigații analitice profunde și identificarea actorilor răi în cadrul mediului
- Asigurați imutabilitatea containerelor în timpul execuției
- Utilizați jurnalele de audit pentru a monitoriza accesul
Rezumat și concluzii
Cerințe
- CKA (Certified Kubernates Administrator) certificare
Audiență
- Kubernetes practicieni
Mărturii (5)
a fost răbdător și a înțeles că rămânem în urmă
Albertina - REGNOLOGY ROMANIA S.R.L.
Curs - Deploying Kubernetes Applications with Helm
Tradus de catre o masina
A explicat totul, nu doar noțiunile k8s.
Stefan Voinea - EMAG IT Research S.R.L
Curs - Certified Kubernetes Application Developer (CKAD) - exam preparation
Tradus de catre o masina
Depth of knowledge of the trainer
Grant Miller - BMW
Curs - Certified Kubernetes Administrator (CKA) - exam preparation
It gave a good grounding for Docker and Kubernetes.
Stephen Dowdeswell - Global Knowledge Networks UK
Curs - Docker (introducing Kubernetes)
There was a lot to lean, but it never felt rushed.