Schița de curs

Introducere

Configurarea clusterului

  • Utilizați politicile de securitate a rețelei pentru a restricționa accesul la nivel de cluster
  • Utilizați benchmark-ul CIS pentru a revizui configurația de securitate a componentelor Kubernetes (etcd, kubelet, kubedns, kubeapi)
  • Configurați în mod corespunzător obiectele Ingress cu control de securitate
  • Protejați metadatele și punctele finale ale nodurilor
  • Reduceți la minimum utilizarea și accesul la elementele GUI
  • Verificați binarele platformei înainte de implementare

Întărirea clusterelor

  • Restricționarea accesului la Kubernetes API
  • Utilizați controale de acces bazate pe roluri pentru a minimiza expunerea
  • Fiți prudenți în utilizarea conturilor de servicii, de exemplu, dezactivați setările implicite, minimizați permisiunile pentru conturile nou create.
  • Actualizați Kubernetes în mod frecvent

Întărirea sistemului

  • Minimizarea amprentei sistemului de operare gazdă (reducerea suprafeței de atac)
  • Minimizarea rolurilor IAM
  • Minimizarea accesului extern la rețea
  • Utilizați în mod corespunzător instrumentele de întărire a kernelului, cum ar fi AppArmor, seccomp

Minimizați vulnerabilitățile microserviciilor

  • Configurarea domeniilor de securitate adecvate la nivelul sistemului de operare, de exemplu, folosind PSP, OPA, contexte de securitate.
  • Gestionarea secretelor kubernetes
  • Utilizați sandbox-uri de execuție a containerelor în medii cu mai mulți chiriași (de exemplu, gvisor, containere kata)
  • Implementați criptarea de la pod la pod prin utilizarea mTLS

Supply Chain Security

  • Minimizarea amprentei imaginii de bază
  • Asigurați-vă lanțul de aprovizionare: lista albă a registrelor de imagini permise, semnați și validați imaginile
  • Utilizați analiza statică a sarcinilor de lucru ale utilizatorilor (de exemplu, resurse kubernetes, fișiere docker)
  • Scanați imaginile pentru vulnerabilități cunoscute

Monitorizare, logare și securitate în timp de execuție

  • Efectuați analize comportamentale ale activităților de procesare a syscall și a fișierelor la nivelul gazdei și al containerului pentru a detecta activitățile malițioase
  • Detectați amenințările din cadrul infrastructurii fizice, aplicațiilor, rețelelor, datelor, utilizatorilor și sarcinilor de lucru
  • Detectați toate fazele atacului, indiferent unde are loc și cum se răspândește acesta
  • Efectuați investigații analitice profunde și identificarea actorilor răi în cadrul mediului
  • Asigurați imutabilitatea containerelor în timpul execuției
  • Utilizați jurnalele de audit pentru a monitoriza accesul

Rezumat și concluzii

Cerințe

  • CKA (Certified Kubernates Administrator) certificare

Audiență

  • Kubernetes practicieni
 21 ore

Numărul de participanți


Pret per participant

Mărturii (5)