Beveiliging in Kubernetes - natuurlijk 50.000 wrijven. uit Slurm, training, Datum: 28 november 2023.

#1. Inleiding

Wij vertellen je alles over het leerproces en hoe je toegang krijgt.

#2: Inleiding tot Kubernetes-projectbeveiliging

Taak van de ingenieur: Begrijp de basisbeveiligingsprincipes van een project dat in Kubernetes leeft. Weet wat dreigingsmodellen zijn.

Praktijk en theorie: Wat is projectbeveiliging in de context van Kubernetes? Sec, Dev, Ops: hoe kan iedereen vrienden maken en gelukkig leven?

Nr. 3: Bescherming van het Control Plane-cluster

Taak van de ingenieur: Voorkom dat een aanvaller de controle over het cluster overneemt. Ken de best practices voor het beschermen van de belangrijkste componenten van Kubernetes en zorg dat u een checklist bij de hand heeft waarmee u het project kunt controleren op mogelijke kwetsbaarheden.

Praktijk en theorie: Onveilige poort-API, ETCD-bescherming, anonieme autorisatie, waar moet je nog meer op letten? Hoe kunt u CIS Benchmarks gebruiken om uw beveiligingsvertrouwen te vergroten?

Nr. 4: Autorisatie, authenticatie en accounting in Kubernetes

Taak van de engineer: Begrijp op een diepgaand niveau hoe autorisatie en authenticatie werken in een Kubernetes-cluster en weet hoe je deze op de juiste manier kunt voorbereiden. In staat zijn om deze processen niet alleen veilig in te richten, maar ze ook te visualiseren en het gebruikersidentificatieproces gemakkelijker te maken met Keycloak.

Praktijk en theorie: Hoe gebruik je Keycloak om een ​​werkend, handig en veilig proces op te bouwen voor het identificeren van gebruikers in een cluster? Hoe werken autorisatie en authenticatie in Kubernetes?

#5: Automatisering van scannen

Taak van de ingenieur: Leer werken met beveiliging bij de aanvang van een project - in de fase van het schrijven van code.

Praktijk en theorie: Hoe zorg je ervoor dat er geen kwetsbaarheden in de geschreven code zitten? Hoe kunnen tools als Sast/SecretScan helpen en hoe kun je ze gebruiken? Hoe gevoelige gegevens rechtstreeks in CI analyseren?

#6: Beleidsengine en toegangscontrollers gebruiken

Taak van de engineer: In staat zijn om beveiligingsbeleid te configureren met behulp van de Policy Engine binnen een Kubernetes-cluster. Begrijp hoe Admission Controllers werken en weet hoe Pod Security Policy vervangen kan worden.

Praktijk en theorie: hoe, met behulp van Policy Engine-vertegenwoordigers zoals Kyverno of Open Policy Agent, controleer alles wat in het cluster wordt aangemaakt en vervang de meeste Admission Controllers, zoals PSP? Hoe werken Admission Webhooks en hoe kunnen ze worden gebruikt om vrijwel alles in een cluster te valideren en te wijzigen?

#7: Containerbeveiliging

Taak van de ingenieur: Ken de tools die de veiligheid van de container kunnen garanderen en het leven van een aanvaller zo moeilijk mogelijk kunnen maken.

Praktijk en theorie: hoe zit het met SELinux en Kubernetes, is dat nodig? Moet ik AppArmor gebruiken of niet? Hoe draai ik de schroeven van containerprocessen vast met behulp van Seccomp-profielen en mogelijkheden? Wat zijn de Best Practices voor containerbeveiliging in de context van Kubernetes en daarbuiten?

#8: Veilige opslag van geheimen

Taak van de engineer: Weet hoe u uw gevoelige gegevens op de juiste manier opslaat in een Kubernetes-cluster.

Praktijk en theorie: Waar en hoe slaat u wachtwoorden en tokens van uw project op, zodat ze veilig zijn?

#9: Kubernetes-netwerken

Taak van de engineer: Flexibel netwerkregels kunnen aanmaken en beheren in een Kubernetes-cluster.

Praktijk en theorie: Hoe organiseer je netwerkisolatie van omgevingen binnen een cluster? Hoe zorg ik ervoor dat het project alleen toegang heeft tot geselecteerde eindpunten via het netwerk?

#10: Bedreigingsbeheer in Kubernetes

Taak van de ingenieur: Begrijp waar u vanuit veiligheidsoogpunt op moet letten in uw project en op welke punten u de vinger aan de pols moet houden.

Praktijk en theorie: hoe helpt waarneembaarheid bij projectveiligheid?