Biztonság Kubernetesben - tanfolyam 50 000 dörzsölje. Slurmból, képzés, Időpont: 2023. november 28.

#1. Bemutatkozás

Mindent elmondunk a tanulási folyamatról és a hozzáférésről.

#2: Bevezetés a Kubernetes projektbiztonságba

Mérnöki feladat: Egy Kubernetesben élő projekt alapvető biztonsági elveinek megértése. Ismerje meg a fenyegetési modelleket.

Gyakorlat és elmélet: Mi a projektbiztonság a Kubernetes kontextusában? Sec, Dev, Ops – hogyan tud mindenki barátokat szerezni és boldogan élni?

3. sz.: Vezérlősík klaszter védelme

Mérnök feladata: Akadályozza meg, hogy egy támadó átvegye az irányítást a fürt felett. Ismerje meg a Kubernetes fő összetevőinek védelmére vonatkozó legjobb gyakorlatokat, és legyen kéznél egy ellenőrző lista, amely lehetővé teszi a projekt esetleges sebezhetőségeinek ellenőrzését.

Gyakorlat és elmélet: Nem biztonságos port API, ETCD védelem, anonim jogosultság, mire kell még figyelni? Hogyan használhatja a CIS-benchmarkokat a biztonság növelésére?

4. sz.: Engedélyezés, hitelesítés és könyvelés a Kubernetesben

Mérnök feladata: Mély szinten ismerje meg az engedélyezés és hitelesítés működését a Kubernetes-fürtben, és tudja, hogyan kell ezeket helyesen előkészíteni. Legyen képes ezeket a folyamatokat nem csak biztonságosan beállítani, hanem megjeleníteni is, és kényelmesebbé tenni a felhasználó azonosítási folyamatot a Keycloak segítségével.

Gyakorlat és elmélet: Hogyan használhatjuk a Keycloak-ot egy működő, kényelmes és biztonságos folyamat felépítésére a fürtben lévő felhasználók azonosítására? Hogyan működik az engedélyezés és hitelesítés a Kubernetesben?

#5: Szkennelési automatizálás

Mérnök feladata: Tanuljon meg biztonsággal dolgozni a projekt kezdetén – a kódírás szakaszában.

Gyakorlat és elmélet: Hogyan lehet meggyőződni arról, hogy az írott kódban nincsenek sebezhetőségek? Hogyan segíthetnek az olyan eszközök, mint a Sast/SecretScan, és hogyan kell használni őket? Hogyan lehet érzékeny adatokat közvetlenül a CI-ben elemezni?

#6: Szabályzati motor és beléptetővezérlők használata

Mérnök feladata: Tudjon biztonsági házirendeket konfigurálni a Kubernetes-fürtön belüli Policy Engine használatával. Ismerje meg a Belépés-vezérlők működését, és tudja, hogyan cserélhető le a Pod Security Policy.

Gyakorlat és elmélet: Hogyan, a Policy Engine képviselőivel, mint például a Kyverno vagy az Open Policy Agent, szabályozza mindazt, ami a fürtben létrejön, és cserélje le a legtöbb Belépés-vezérlőt, mint pl PSP? Hogyan működnek a Felvételi Webhookok, és hogyan használhatók fel a fürt szinte bármijének érvényesítésére és megváltoztatására?

#7: Konténerbiztonság

Mérnöki feladat: Ismerje azokat az eszközöket, amelyek biztosíthatják a konténer biztonságát és a lehető legnehezítik a támadó életét.

Gyakorlat és elmélet: Mi a helyzet a SELinuxszal és a Kubernetesszel, szükséges-e? Használjam az AppArmort vagy ne? Hogyan lehet meghúzni a csavarokat a konténeres folyamatokon a Seccomp profilok és képességek használatával? Melyek a konténerbiztonság legjobb gyakorlatai a Kubernetes kontextusában és azon túl?

#8: A titkok biztonságos tárolása

Mérnök feladata: Tudja, hogyan kell megfelelően tárolni érzékeny adatait egy Kubernetes-fürtben.

Gyakorlat és elmélet: Hol és hogyan tárolja a projekt jelszavait és tokenjeit, hogy azok biztonságban legyenek?

#9: Kubernetes Networking

Mérnök feladata: Legyen képes rugalmasan létrehozni és kezelni hálózati szabályokat Kubernetes-fürtben.

Gyakorlat és elmélet: Hogyan lehet megszervezni a környezetek hálózati elkülönítését egy klaszteren belül? Hogyan biztosítható, hogy a projekt csak a kiválasztott végpontokhoz férjen hozzá a hálózaton keresztül?

#10: Fenyegetéskezelés a Kubernetesben

Mérnöki feladat: Értsd meg, mire kell odafigyelned a projekted során biztonsági szempontból, és mely pontokon tartsd a pulzust.

Gyakorlat és elmélet: Hogyan segíti a megfigyelhetőség a projekt biztonságát?