Kurzusleírás
Bevezetés
Klaszter beállítása
- Használja a hálózati biztonsági házirendeket a fürtszintű hozzáférés korlátozására
- Használja a CIS benchmarkot a Kubernetes összetevők biztonsági konfigurációjának áttekintésére (etcd, kubelet, kubedns, kubeapi)
- Megfelelően állítsa be az Ingress objektumokat biztonsági ellenőrzéssel
- Védje a csomópont metaadatait és végpontjait
- Minimalizálja a GUI-elemek használatát és hozzáférését
- A telepítés előtt ellenőrizze a platform bináris fájljait
Cluster Hardening
- Hozzáférés korlátozása a Kubernetes API-hoz
- Az expozíció minimalizálása érdekében használja a szerepkör alapú Access vezérlőket
- Legyen körültekintő a szolgáltatásfiókok használatakor, pl. tiltsa le az alapértelmezett beállításokat, minimalizálja az engedélyeket az újonnan létrehozott fiókokon
- Frissítse Kubernetes gyakran
Rendszer keményedés
- Minimalizálja a gazdagép operációs rendszer lábnyomát (csökkenti a támadási felületet)
- Minimalizálja az IAM-szerepeket
- Minimalizálja a külső hozzáférést a hálózathoz
- Megfelelően használjon kernel keményítő eszközöket, például AppArmor, seccomp
Minimalizálja a mikroszolgáltatási sebezhetőségeket
- Állítsa be a megfelelő operációs rendszer szintű biztonsági tartományokat, pl. PSP, OPA, biztonsági kontextusok használatával
- Kezelje a kubernetes titkokat
- Konténer futásidejű homokozók használata több bérlős környezetekben (pl. gvisor, kata konténerek)
- Végezze el a pod to pod titkosítást az mTLS használatával
Supply Chain Security
- Minimalizálja az alapkép lábnyomát
- Biztosítsa ellátási láncát: engedélyezze az engedélyezett képregisztrációkat, írja alá és érvényesítse a képeket
- A felhasználói munkaterhelések statikus elemzése (pl. kubernetes erőforrások, docker-fájlok)
- Vizsgálja meg a képeket ismert sebezhetőségekért
Monitoring, naplózás és futásidejű biztonság
- A rendszerhívási folyamatok és fájltevékenységek viselkedéselemzésének végrehajtása gazdagép és tároló szinten a rosszindulatú tevékenységek észlelése érdekében
- Fenyegetések észlelése a fizikai infrastruktúrán, alkalmazásokon, hálózatokon, adatokon, felhasználókon és munkaterheléseken belül
- Érzékelje a támadás minden fázisát, függetlenül attól, hogy hol történik és hogyan terjed
- Végezze el a mélyreható analitikus vizsgálatot és a rossz szereplők azonosítását a környezetben
- Biztosítsa a konténerek megváltoztathatatlanságát futás közben
- A hozzáférés figyeléséhez használja az auditnaplókat
Összefoglalás, és következtetés
Követelmények
- CKA (Certified Kubernates Administrator) minősítés
Közönség
- Kubernetes gyakorló
Vélemények (7)
Mindenből láthatunk egy kicsit
Luis Manuel Navarro Rangel - Vivelink S.A. de C.V.
Kurzus - Docker and Kubernetes
Machine Translated
Példák valós alkalmazásokból
Łukasz - Rossmann SDP Sp. z o.o.
Kurzus - Docker (introducing Kubernetes)
Machine Translated
Kezek gyakorlatok
Tobias - Elisa Polystar
Kurzus - Docker and Kubernetes: Building and Scaling a Containerized Application
Machine Translated
A virtuális asztal elérhetősége homokozóként a résztvevők számára nagyszerű!
Benedict - Questronix Corporation
Kurzus - OpenShift 4 for Administrators
Machine Translated
A gyakorlati gyakorlatok rendkívül fontosak voltak a tanulás megszilárdításához. A motorháztető alatti dolgok működésének mélyreható magyarázata mindent világosabbá tett.
Otavio Marchioli dos Santos - ExitLag
Kurzus - Kubernetes from Basic to Advanced
Machine Translated
Concepts learnt and how to set up the k8 clusters
Sekgwa Ramatshosa - Vodacom SA
Kurzus - Kubernetes on AWS
The explanation and background of each concept, to get a better understanding