0
vues
Sécurité dans Kubernetes - cours 50 000 roubles. de Slurm, formation, Date: 28 novembre 2023.
Miscellanea / / November 29, 2023
— Nous avons des dizaines d'infrastructures construites et des centaines de pipelines CI/CD écrits,
— Administrateur Kubernetes certifié,
— Auteur de plusieurs cours sur Kubernetes et DevOps,
— Conférencier régulier lors de conférences informatiques russes et internationales.
— Ingénieur avec 8 ans d'expérience,
— Administrateur Kubernetes certifié,
— Implémentations Kubernetes pour les clients Southbridge,
— Développeur de cours et conférencier Slurm.
#1. Introduction
Nous vous dirons tout sur le processus d'apprentissage et comment y accéder.
#2: Introduction à la sécurité du projet Kubernetes
Tâche de l'ingénieur: Comprendre les principes de sécurité de base d'un projet vivant dans Kubernetes. Connaître les modèles de menace.
Pratique et théorie: Qu'est-ce que la sécurité des projets dans le contexte de Kubernetes? Sec, Dev, Ops: comment tout le monde peut-il se faire des amis et vivre heureux ?
N°3: Protection du cluster Control Plane
Tâche de l'ingénieur: Empêcher un attaquant de prendre le contrôle du cluster. Connaissez les meilleures pratiques pour protéger les principaux composants de Kubernetes et disposez d'une liste de contrôle qui vous permet de vérifier les vulnérabilités potentielles du projet.
Pratique et théorie: API de port non sécurisé, protection ETCD, autorisation anonyme, à quoi d'autre devez-vous faire attention? Comment pouvez-vous utiliser CIS Benchmarks pour améliorer votre confiance en matière de sécurité ?
N°4: Autorisation, authentification et comptabilité dans Kubernetes
Tâche de l'ingénieur: À un niveau approfondi, comprendre le fonctionnement de l'autorisation et de l'authentification dans un cluster Kubernetes et savoir les préparer correctement. Être capable non seulement de configurer ces processus en toute sécurité, mais également de les visualiser et de rendre le processus d'identification des utilisateurs plus pratique à l'aide de Keycloak.
Pratique et théorie: Comment utiliser Keycloak pour créer un processus fonctionnel, pratique et sécurisé pour identifier les utilisateurs dans un cluster? Comment fonctionnent l’autorisation et l’authentification dans Kubernetes ?
#5: Automatisation de la numérisation
Tâche de l'ingénieur: Apprendre à travailler avec la sécurité dès le début d'un projet - au stade de l'écriture du code.
Pratique et théorie: Comment s'assurer qu'il n'y a pas de vulnérabilités dans le code écrit? Comment des outils comme Sast/SecretScan peuvent-ils aider et comment les utiliser? Comment analyser les données sensibles directement dans CI ?
#6: Utilisation du moteur de stratégie et des contrôleurs d'admission
Tâche de l'ingénieur: Être capable de configurer des politiques de sécurité à l'aide du Policy Engine au sein d'un cluster Kubernetes. Comprenez comment fonctionnent les contrôleurs d'admission et comment la politique de sécurité des pods peut être remplacée.
Pratique et théorie: comment, à l'aide de représentants de Policy Engine tels que Kyverno ou Open Policy Agent, contrôler tout ce qui est créé dans le cluster et remplacer la plupart des contrôleurs d'admission, tels que PSP? Comment fonctionnent les webhooks d'admission et comment peuvent-ils être utilisés pour valider et modifier presque tout dans un cluster ?
#7: Sécurité des conteneurs
Tâche de l'ingénieur: Connaître les outils qui peuvent assurer la sécurité du conteneur et rendre la vie aussi difficile que possible à un attaquant.
Pratique et théorie: Quoi de neuf avec SELinux et Kubernetes, est-ce nécessaire? Dois-je utiliser AppArmor ou non? Comment serrer les vis sur les processus de conteneurs à l'aide des profils et capacités Seccomp? Quelles sont les meilleures pratiques pour la sécurité des conteneurs dans le contexte de Kubernetes et au-delà ?
#8: Stockage sécurisé des secrets
Tâche de l'ingénieur: Savoir stocker correctement vos données sensibles dans un cluster Kubernetes.
Pratique et théorie: Où et comment stocker les mots de passe et les tokens de votre projet pour qu'ils soient en sécurité ?
#9: Réseau Kubernetes
Tâche de l'ingénieur: Être capable de créer et de gérer de manière flexible des règles réseau dans un cluster Kubernetes.
Pratique et théorie: Comment organiser l'isolation réseau des environnements au sein d'un cluster? Comment s'assurer que le projet accède uniquement aux points de terminaison sélectionnés sur le réseau ?
#10: Gestion des menaces dans Kubernetes
Tâche de l'ingénieur: Comprendre à quoi vous devez faire attention dans votre projet du point de vue de la sécurité et à quels points rester à l'écoute.
Pratique et théorie: Comment l’observabilité contribue-t-elle à la sécurité des projets ?
Souscrire
YOU MIGHT ALSO LIKE
