Programa do Curso
Introdução
Configuração do cluster
- Utilizar as políticas de segurança da rede para restringir o acesso ao nível do cluster
- Utilizar o benchmark CIS para rever a configuração de segurança dos componentes Kubernetes (etcd, kubelet, kubedns, kubeapi)
- Configurar corretamente os objectos Ingress com controlo de segurança
- Proteger os metadados e os pontos finais dos nós
- Minimizar o uso e o acesso a elementos da GUI
- Verificar os binários da plataforma antes da implantação
Endurecimento de clusters
- Restringir o acesso à Kubernetes API
- Utilizar controlos de acesso baseados em funções para minimizar a exposição
- Ter cuidado ao utilizar contas de serviço, por exemplo, desativar as predefinições, minimizar as permissões em contas recém-criadas
- Atualizar Kubernetes frequentemente
Endurecimento do sistema
- Minimizar a pegada do SO anfitrião (reduzir a superfície de ataque)
- Minimizar as funções de IAM
- Minimizar o acesso externo à rede
- Utilizar adequadamente ferramentas de reforço do kernel, como AppArmor, seccomp
Minimizar as vulnerabilidades dos microsserviços
- Configurar domínios de segurança adequados a nível do SO, por exemplo, utilizando PSP, OPA, contextos de segurança
- Gerir segredos de kubernetes
- Utilizar sandboxes de tempo de execução de contentores em ambientes multi-tenant (por exemplo, gvisor, contentores kata)
- Implementar a encriptação de pod para pod através da utilização de mTLS
Supply Chain Security
- Minimizar a pegada da imagem de base
- Proteja a sua cadeia de fornecimento: lista branca de registos de imagens permitidos, assinar e validar imagens
- Utilizar a análise estática das cargas de trabalho do utilizador (por exemplo, recursos kubernetes, ficheiros docker)
- Examinar imagens em busca de vulnerabilidades conhecidas
Monitorização, registo e segurança em tempo de execução
- Realizar análises comportamentais de actividades de processos e ficheiros syscall ao nível do anfitrião e do contentor para detetar actividades maliciosas
- Detetar ameaças na infraestrutura física, aplicações, redes, dados, utilizadores e cargas de trabalho
- Detetar todas as fases do ataque, independentemente de onde ocorre e como se espalha
- Efetuar uma investigação analítica profunda e identificar os maus actores no ambiente
- Garantir a imutabilidade dos contentores em tempo de execução
- Utilizar registos de auditoria para monitorizar o acesso
Resumo e conclusão
Requisitos
- Certificação CKA (Certified Kubernates Administrator)
Público
- Kubernetes praticantes
Declaração de Clientes (6)
Embora bastante cansativo, gostei do facto de haver muitos exemplos e de ser possível fazer perguntas.
Roger - REGNOLOGY ROMANIA S.R.L.
Curso - Docker and Kubernetes
Machine Translated
Exemplos de aplicações reais
Łukasz - Rossmann SDP Sp. z o.o.
Curso - Docker (introducing Kubernetes)
Machine Translated
Exercícios práticos
Tobias - Elisa Polystar
Curso - Docker and Kubernetes: Building and Scaling a Containerized Application
Machine Translated
A disponibilidade do ambiente de trabalho virtual como uma espécie de "caixa de areia" para os participantes poderem experimentar é óptima!
Benedict - Questronix Corporation
Curso - OpenShift 4 for Administrators
Machine Translated
Os exercícios hands-on foram de extrema importância para fixar o aprendizado. A explicação a fundo de como as coisas funcionam por baixo dos panos deixou tudo mais claro.
Otavio Marchioli dos Santos - ExitLag
Curso - Kubernetes from Basic to Advanced
Concepts learnt and how to set up the k8 clusters