Návrh Školení
Úvod
Nastavení clusteru
- Omezte přístup na úrovni clusteru pomocí zásad zabezpečení sítě Použijte srovnávací test CIS ke kontrole konfigurace zabezpečení Kubernetes komponent (etcd, kubelet, kubedns, kubeapi) Správně nastavte objekty Ingress s kontrolou zabezpečení Chraňte metadata uzlů a koncové body Minimalizujte používání a přístup do, prvky GUI Před nasazením ověřte binární soubory platformy
Cluster Hardening
- Omezit přístup k Kubernetes API Používejte Role Based Access Controls k minimalizaci expozice Buďte opatrní při používání servisních účtů, např. deaktivujte výchozí nastavení, minimalizujte oprávnění na nově vytvořených Aktualizujte Kubernetes často
Hardening systému
- Minimalizovat nároky na hostitelský operační systém (snížit povrch útoku) Minimalizovat role IAM Minimalizovat externí přístup k síti Vhodně používat nástroje pro posílení jádra, jako je AppArmor, seccomp
Minimalizujte zranitelnosti mikroslužeb
- Nastavte příslušné bezpečnostní domény na úrovni OS, např. pomocí PSP, OPA, bezpečnostních kontextů Správa tajných informací kubernetes Používejte karantény kontejneru runtime v prostředích s více nájemci (např. gvisor, kontejnery kata) Implementujte šifrování pod to pod pomocí mTLS
Supply Chain Security
- Minimalizujte stopu základního obrázku Zabezpečte svůj dodavatelský řetězec: seznam povolených registrů obrázků na seznam povolených, podepisujte a ověřujte obrázky Používejte statickou analýzu uživatelského pracovního zatížení (např. zdroje kubernetes, soubory dockeru) Skenujte obrázky na známé zranitelnosti
Monitorování, protokolování a zabezpečení běhu
- Provádějte behaviorální analýzy procesů syscall a činností souborů na úrovni hostitele a kontejneru pro detekci škodlivých aktivit Detekce hrozeb v rámci fyzické infrastruktury, aplikací, sítí, dat, uživatelů a pracovních zátěží Detekce všech fází útoku bez ohledu na to, kde se vyskytuje a jak se šíří Provádění hloubkové analýzy vyšetřování a identifikace špatných aktérů v prostředí Zajistěte neměnnost kontejnerů za běhu Použijte protokoly auditu ke sledování přístupu
Shrnutí a závěr
Požadavky
- Certifikace CKA (Certified Kubernates Administrator).
Publikum
- Kubernetes praktikující
Reference (7)
Můžeme vidět od všeho trochu
Luis Manuel Navarro Rangel - Vivelink S.A. de C.V.
Kurz - Docker and Kubernetes
Machine Translated
Příklady z reálných aplikací
Łukasz - Rossmann SDP Sp. z o.o.
Kurz - Docker (introducing Kubernetes)
Machine Translated
Ruce na cvičení
Tobias - Elisa Polystar
Kurz - Docker and Kubernetes: Building and Scaling a Containerized Application
Machine Translated
Dostupnost virtuální plochy jako formy pískoviště pro účastníky je skvělá!
Benedict - Questronix Corporation
Kurz - OpenShift 4 for Administrators
Machine Translated
Praktická cvičení byla nesmírně důležitá pro upevnění učení. Důkladné vysvětlení toho, jak to pod kapotou chodí, vše objasnilo.
Otavio Marchioli dos Santos - ExitLag
Kurz - Kubernetes from Basic to Advanced
Machine Translated
Concepts learnt and how to set up the k8 clusters
Sekgwa Ramatshosa - Vodacom SA
Kurz - Kubernetes on AWS
The explanation and background of each concept, to get a better understanding