Sicurezza in Kubernetes: corso 50.000 rubli. da Slurm, formazione, Data: 28 novembre 2023.
Miscellanea / / November 29, 2023
— Abbiamo dozzine di infrastrutture costruite e centinaia di pipeline CI/CD scritte,
— Amministratore Kubernetes certificato,
— Autore di numerosi corsi su Kubernetes e DevOps,
— Relatore regolare a conferenze IT russe e internazionali.
— Ingegnere con 8 anni di esperienza,
— Amministratore Kubernetes certificato,
— Implementazioni Kubernetes per i client Southbridge,
— Sviluppatore e relatore del corso Slurm.
#1. Introduzione
Ti diremo tutto sul processo di apprendimento e su come ottenere l'accesso.
#2: Introduzione alla sicurezza dei progetti Kubernetes
Compito dell'ingegnere: comprendere i principi di sicurezza di base di un progetto che vive in Kubernetes. Conoscere i modelli di minaccia.
Pratica e teoria: cos'è la sicurezza del progetto nel contesto di Kubernetes? Sec, Dev, Ops: come possono tutti fare amicizia e vivere felici?
N. 3: Protezione del cluster Control Plane
Compito dell'ingegnere: impedire a un utente malintenzionato di assumere il controllo del cluster. Conosci le migliori pratiche per proteggere i componenti principali di Kubernetes e tieni a portata di mano una checklist che ti consente di verificare eventuali vulnerabilità del progetto.
Pratica e teoria: API di porta non sicura, protezione ETCD, autorizzazione anonima, a cos'altro dovresti prestare attenzione? Come puoi utilizzare i benchmark CIS per migliorare la tua sicurezza in termini di sicurezza?
N. 4: Autorizzazione, autenticazione e contabilità in Kubernetes
Compito dell'ingegnere: comprendere a livello profondo come funzionano l'autorizzazione e l'autenticazione in un cluster Kubernetes e sapere come prepararle correttamente. Essere in grado non solo di impostare questi processi in modo sicuro, ma anche di visualizzarli e rendere più conveniente il processo di identificazione dell'utente utilizzando Keycloak.
Pratica e teoria: come utilizzare Keycloak per creare un processo funzionante, conveniente e sicuro per identificare gli utenti in un cluster? Come funzionano l'autorizzazione e l'autenticazione in Kubernetes?
N. 5: Automazione della scansione
Compito dell'ingegnere: imparare a lavorare in sicurezza all'inizio di un progetto, nella fase di scrittura del codice.
Pratica e teoria: come assicurarsi che non ci siano vulnerabilità nel codice scritto? In che modo strumenti come Sast/SecretScan possono essere d'aiuto e come utilizzarli? Come analizzare i dati sensibili direttamente in CI?
N. 6: Utilizzo del motore delle policy e dei controller di ammissione
Compito dell'ingegnere: Essere in grado di configurare le policy di sicurezza utilizzando il Policy Engine all'interno di un cluster Kubernetes. Comprendere come funzionano i controller di ammissione e sapere come è possibile sostituire la policy di sicurezza dei pod.
Pratica e teoria: come, utilizzando rappresentanti di Policy Engine come Kyverno o Open Policy Agent, controlla tutto ciò che viene creato nel cluster e sostituisce la maggior parte dei controller di ammissione, come ad esempio PSP? Come funzionano i webhook di ammissione e come possono essere utilizzati per convalidare e modificare quasi tutto in un cluster?
N. 7: Sicurezza dei container
Compito dell'ingegnere: conoscere gli strumenti che possono garantire la sicurezza del container e rendere la vita il più difficile possibile a un aggressore.
Pratica e teoria: cosa succede con SELinux e Kubernetes, è necessario? Dovrei usare AppArmor o no? Come stringere le viti sui processi dei container utilizzando i profili e le capacità Seccomp? Quali sono le migliori pratiche per la sicurezza dei container nel contesto di Kubernetes e oltre?
N. 8: Archiviazione sicura dei segreti
Compito dell'ingegnere: sapere come archiviare correttamente i dati sensibili in un cluster Kubernetes.
Pratica e teoria: dove e come archiviare password e token del tuo progetto in modo che siano al sicuro?
N. 9: Rete Kubernetes
Compito dell'ingegnere: Essere in grado di creare e gestire in modo flessibile le regole di rete in un cluster Kubernetes.
Pratica e teoria: come organizzare l'isolamento di rete degli ambienti all'interno di un cluster? Come assicurarsi che il progetto acceda solo agli endpoint selezionati sulla rete?
N. 10: Gestione delle minacce in Kubernetes
Compito dell'ingegnere: capire a cosa bisogna prestare attenzione nel vostro progetto dal punto di vista della sicurezza e in quali punti tenere il dito sul polso.
Pratica e teoria: in che modo l'osservabilità aiuta nella sicurezza del progetto?