Plan du cours
Introduction
Configuration du cluster
- Utiliser les politiques de sécurité du réseau pour restreindre l'accès au niveau du cluster
- Utiliser le benchmark CIS pour examiner la configuration de sécurité des composants Kubernetes (etcd, kubelet, kubedns, kubeapi)
- Configurer correctement les objets Ingress avec un contrôle de sécurité
- Protéger les métadonnées des nœuds et les points d'extrémité
- Minimiser l'utilisation et l'accès aux éléments de l'interface graphique
- Vérifier les binaires de la plateforme avant de les déployer
Durcissement des grappes
- Restreindre l'accès à l'API Kubernetes
- Utiliser des contrôles d'accès basés sur les rôles pour minimiser l'exposition
- Faire preuve de prudence dans l'utilisation des comptes de service, par exemple en désactivant les valeurs par défaut, en minimisant les autorisations sur les comptes nouvellement créés.
- Mettre fréquemment à jour Kubernetes.
Renforcement du système
- Minimiser l'empreinte du système d'exploitation hôte (réduire la surface d'attaque)
- Minimiser les rôles IAM
- Minimiser l'accès externe au réseau
- Utiliser de manière appropriée les outils de durcissement du noyau tels que AppArmor, seccomp, etc.
Minimiser les vulnérabilités des microservices
- Configurer les domaines de sécurité appropriés au niveau du système d'exploitation, par exemple en utilisant PSP, OPA, contextes de sécurité.
- Gérer les secrets kubernetes
- Utiliser des bacs à sable d'exécution de conteneurs dans des environnements multi-locataires (par exemple, gvisor, conteneurs kata)
- Mettre en œuvre le chiffrement de pod à pod par l'utilisation de mTLS
Supply Chain Security
- Minimiser l'empreinte de l'image de base
- Sécurisez votre chaîne d'approvisionnement : établissez une liste blanche des registres d'images autorisés, signez et validez les images.
- Utilisez l'analyse statique des charges de travail des utilisateurs (par exemple, les ressources kubernetes, les fichiers docker).
- Analyser les images pour détecter les vulnérabilités connues
Surveillance, journalisation et sécurité d'exécution
- Analyse comportementale des activités des processus syscall et des fichiers au niveau de l'hôte et du conteneur afin de détecter les activités malveillantes.
- Détecter les menaces au sein de l'infrastructure physique, des applications, des réseaux, des données, des utilisateurs et des charges de travail.
- Détecter toutes les phases de l'attaque, indépendamment de l'endroit où elle se produit et de la manière dont elle se propage.
- Effectuer des recherches analytiques approfondies et identifier les mauvais acteurs au sein de l'environnement
- Garantir l'immuabilité des conteneurs au moment de l'exécution
- Utiliser les journaux d'audit pour surveiller l'accès
Résumé et conclusion
Pré requis
- CKA (Certified Kubernates Administrator) certification
Audience
- Kubernetes praticiens
Nos Clients témoignent (7)
Nous avons pu voir un peu de tout
Luis Manuel Navarro Rangel - Vivelink S.A. de C.V.
Formation - Docker and Kubernetes
Traduction automatique
Exemples d'applications réelles
Łukasz - Rossmann SDP Sp. z o.o.
Formation - Docker (introducing Kubernetes)
Traduction automatique
Exercices pratiques
Tobias - Elisa Polystar
Formation - Docker and Kubernetes: Building and Scaling a Containerized Application
Traduction automatique
La disponibilité du bureau virtuel en tant que bac à sable pour les participants est formidable !
Benedict - Questronix Corporation
Formation - OpenShift 4 for Administrators
Traduction automatique
Les exercices pratiques ont été extrêmement importants pour l'apprentissage, et les explications approfondies sur le fonctionnement en coulisses ont rendu les choses plus claires.
Otavio Marchioli dos Santos - ExitLag
Formation - Kubernetes from Basic to Advanced
Traduction automatique
Concepts learnt and how to set up the k8 clusters
Sekgwa Ramatshosa - Vodacom SA
Formation - Kubernetes on AWS
The explanation and background of each concept, to get a better understanding