Securitate în Kubernetes - desigur 50.000 de ruble. din Slurm, antrenament, Data: 28 noiembrie 2023.

#1. Introducere

Vă vom spune totul despre procesul de învățare și despre cum să obțineți acces.

#2: Introducere în securitatea proiectului Kubernetes

Sarcina inginerului: Înțelegeți principiile de bază de securitate ale unui proiect care trăiește în Kubernetes. Aflați despre modelele de amenințări.

Practică și teorie: Ce este securitatea proiectului în contextul Kubernetes? Sec, Dev, Ops - cum poate toată lumea să-și facă prieteni și să trăiască fericiți?

Nr. 3: Protecția clusterului Plan de control

Sarcina inginerului: Preveniți un atacator să preia controlul asupra clusterului. Cunoașteți cele mai bune practici pentru protejarea principalelor componente ale Kubernetes și aveți la îndemână o listă de verificare care vă permite să verificați proiectul pentru potențiale vulnerabilități.

Practică și teorie: API de port nesecurizat, protecție ETCD, autorizare anonimă, la ce altceva ar trebui să acordați atenție? Cum puteți utiliza CIS Benchmarks pentru a vă îmbunătăți încrederea în securitate?

Nr. 4: Autorizare, autentificare și contabilitate în Kubernetes

Sarcina inginerului: la un nivel profund, înțelegeți cum funcționează autorizarea și autentificarea într-un cluster Kubernetes și știți cum să le pregătiți corect. Nu numai că puteți configura aceste procese în siguranță, ci și să le vizualizați și să faceți procesul de identificare a utilizatorului mai convenabil folosind Keycloak.

Practică și teorie: Cum să utilizați Keycloak pentru a construi un proces funcțional, convenabil și sigur pentru identificarea utilizatorilor dintr-un cluster? Cum funcționează autorizarea și autentificarea în Kubernetes?

#5: Automatizarea scanării

Sarcina inginerului: Învață să lucrezi cu securitate la începutul unui proiect - în etapa de scriere a codului.

Practică și teorie: Cum să vă asigurați că nu există vulnerabilități în codul scris? Cum pot ajuta instrumente precum Sast/SecretScan și cum să le folosească? Cum se analizează datele sensibile direct în CI?

#6: Folosirea motorului de politici și a controlorilor de admitere

Sarcina inginerului: să poată configura politicile de securitate utilizând Policy Engine într-un cluster Kubernetes. Înțelegeți cum funcționează controlorii de admitere și știți cum poate fi înlocuită Politica de securitate a podului.

Practică și teorie: Cum, folosind reprezentanți Policy Engine, cum ar fi Kyverno sau Open Policy Agent, controlați tot ceea ce este creat în cluster și înlocuiți majoritatea controlerelor de admitere, cum ar fi PSP? Cum funcționează Admission Webhooks și cum pot fi folosite pentru a valida și schimba aproape orice într-un cluster?

#7: Securitatea containerelor

Sarcina inginerului: Cunoaște instrumentele care pot asigura securitatea containerului și pot îngreuna viața unui atacator.

Practică și teorie: Ce se întâmplă cu SELinux și Kubernetes, este necesar? Ar trebui să folosesc AppArmor sau nu? Cum se strâng șuruburile pe procesele containerului folosind profile și capabilități Seccomp? Care sunt cele mai bune practici pentru securitatea containerelor în contextul Kubernetes și nu numai?

#8: Depozitarea în siguranță a secretelor

Sarcina inginerului: Aflați cum să vă stocați corect datele sensibile într-un cluster Kubernetes.

Practică și teorie: Unde și cum să stocați parolele și simbolurile proiectului dvs., astfel încât acestea să fie în siguranță?

#9: Rețele Kubernetes

Sarcina inginerului: să fiți capabil să creați și să gestionați în mod flexibil reguli de rețea într-un cluster Kubernetes.

Practică și teorie: Cum se organizează izolarea în rețea a mediilor într-un cluster? Cum să vă asigurați că proiectul accesează numai punctele finale selectate prin rețea?

#10: Managementul amenințărilor în Kubernetes

Sarcina inginerului: Înțelegeți la ce trebuie să acordați atenție în proiectul dvs. din punct de vedere al siguranței și în ce puncte să țineți degetul pe puls.

Practică și teorie: Cum ajută observabilitatea în securitatea proiectului?