Schița de curs
Introducere
Configurarea clusterului
- Utilizarea politicilor de securitate a rețelei pentru a restricționa accesul la nivel de cluster
- Utilizarea benchmark-ului CIS pentru a revizui configurația de securitate a componentelor Kubernetes (etcd, kubelet, kubedns, kubeapi)
- Configurarea corectă a obiectelor Ingress cu control de securitate
- Protejarea metadatelor și a punctelor finale ale nodurilor
- Minimizarea utilizării și accesului la elementele GUI
- Verificarea binarilor platformei înainte de implementare
Întărirea clusterului
- Restricționarea accesului la API-ul Kubernetes
- Utilizarea controalelor de acces bazate pe roluri pentru a minimiza expunerea
- Exercițiu de precauție în utilizarea conturilor de serviciu, de exemplu, dezactivarea valorilor implicite, minimizarea permisiunilor pentru cele nou create
- Actualizarea frecventă a Kubernetes
Întărirea sistemului
- Minimizarea amprenta sistemului de operare gazdă (reducerea suprafeței de atac)
- Minimizarea rolurilor IAM
- Minimizarea accesului extern la rețea
- Utilizarea adecvată a instrumentelor de întărire a kernelului, cum ar fi AppArmor, seccomp
Minimizarea vulnerabilităților microserviciilor
- Configurarea domeniilor de securitate la nivel de sistem de operare, de exemplu, utilizarea PSP, OPA, contexte de securitate
- Gestionarea secretelor Kubernetes
- Utilizarea sandbox-urilor pentru runtime-ul containerelor în medii multi-tenant (de exemplu, gvisor, kata containers)
- Implementarea criptării pod-la-pod prin utilizarea mTLS
Securitatea lanțului de aprovizionare
- Minimizarea amprenta imaginii de bază
- Securizarea lanțului de aprovizionare: listă albă a registrelor de imagini permise, semnarea și validarea imaginilor
- Utilizarea analizei statice a sarcinilor de lucru ale utilizatorilor (de exemplu, resurse Kubernetes, fișiere Docker)
- Scanarea imaginilor pentru vulnerabilități cunoscute
Monitorizare, jurnalizare și securitate în timp real
- Efectuarea analizei comportamentale a activităților de proces și fișiere la nivel de gazdă și container pentru a detecta activități malitioase
- Detectarea amenințărilor în cadrul infrastructurii fizice, aplicațiilor, rețelelor, datelor, utilizatorilor și sarcinilor de lucru
- Detectarea tuturor fazelor de atac, indiferent de locul unde are loc și de modul în care se răspândește
- Efectuarea investigației analitice profunde și identificarea actorilor rău intenționați în cadrul mediului
- Asigurarea imutabilității containerelor în timp real
- Utilizarea jurnalelor de audit pentru a monitoriza accesul
Rezumat și concluzii
Cerințe
- Certificarea CKA (Certified Kubernetes Administrator)
Publicul țintă
- Practicieni Kubernetes
Mărturii (5)
About the microservices and how to maintenance kubernetes
Yufri Isnaini Rochmat Maulana - Bank Indonesia
Curs - Advanced Platform Engineering: Scaling with Microservices and Kubernetes
Modul în care ne-a abordat pe fiecare din noi când ne explică ceea ce nu-am înțeles.
Marian - REGNOLOGY ROMANIA S.R.L.
Curs - Deploying Kubernetes Applications with Helm
Tradus de catre o masina
El a explicat totul, nu doar noțiuni ale k8s.
Stefan Voinea - EMAG IT Research S.R.L
Curs - Certified Kubernetes Application Developer (CKAD) - exam preparation
Tradus de catre o masina
Adâncimea cunoștințelor instrucționarului
Grant Miller - BMW
Curs - Certified Kubernetes Administrator (CKA) - exam preparation
Tradus de catre o masina
There was a lot to lean, but it never felt rushed.
thomas gardner - National Oceanography Centre
Curs - Docker, Kubernetes and OpenShift for Administrators
Tradus de catre o masina
