Turvallisuus Kubernetesissa - kurssi 50 000 hieroa. Slurmilta, koulutus, Päivämäärä: 28.11.2023.

#1. Esittely

Kerromme sinulle kaiken oppimisprosessista ja pääsystä.

#2: Johdatus Kubernetes-projektin tietoturvaan

Insinöörin tehtävä: Ymmärtää Kubernetesissa asuvan projektin turvallisuuden perusperiaatteet. Tutustu uhkamalleihin.

Käytäntö ja teoria: Mitä on projektiturvallisuus Kuberneteksen kontekstissa? Sec, Dev, Ops – kuinka kaikki voivat saada ystäviä ja elää onnellisina?

Nro 3: Ohjaustason klusterin suojaus

Insinöörin tehtävä: Estä hyökkääjää ottamasta klusterin hallintaansa. Tunne parhaat käytännöt Kubernetesin pääkomponenttien suojaamiseksi ja sinulla on käytettävissäsi tarkistuslista, jonka avulla voit tarkistaa projektin mahdolliset haavoittuvuudet.

Käytäntö ja teoria: Turvaton portin API, ETCD-suojaus, anonyymi valtuutus, mihin muuhun kannattaa kiinnittää huomiota? Kuinka voit parantaa tietoturvaluottamustasi CIS-vertailuarvojen avulla?

Nro 4: Valtuutus, todennus ja kirjanpito Kubernetesissa

Insinöörin tehtävä: Ymmärrä syvällä, miten valtuutus ja autentikointi toimivat Kubernetes-klusterissa, ja osaa valmistella ne oikein. Pystyt paitsi asettamaan nämä prosessit turvallisesti, myös visualisoimaan ne ja tekemään käyttäjien tunnistusprosessista kätevämmän Keycloakin avulla.

Käytäntö ja teoria: Kuinka Keycloakin avulla rakennetaan toimiva, kätevä ja turvallinen prosessi käyttäjien tunnistamiseen klusterissa? Kuinka valtuutus ja todennus toimivat Kubernetesissa?

#5: Skannausautomaatio

Insinöörin tehtävä: Opi työskentelemään turvallisuuden kanssa projektin alussa - koodin kirjoitusvaiheessa.

Käytäntö ja teoria: Kuinka varmistaa, että kirjoitetussa koodissa ei ole haavoittuvuuksia? Miten Sast/SecretScanin kaltaiset työkalut voivat auttaa ja miten niitä käytetään? Kuinka analysoida arkaluonteisia tietoja suoraan CI: ssä?

#6: Käytäntömoottorin ja pääsyohjaimien käyttäminen

Insinöörin tehtävä: Pystyy määrittämään suojauskäytäntöjä Kubernetes-klusterin käytäntömoottorin avulla. Ymmärrä, kuinka sisäänpääsyn ohjaimet toimivat, ja tiedä kuinka Pod Security Policy voidaan korvata.

Käytäntö ja teoria: Miten käytät Policy Enginen edustajia, kuten Kyvernoa tai Open Policy Agentia, hallita kaikkea klusterissa luotua ja korvata useimmat pääsyohjaimet, kuten PSP? Miten sisäänpääsy-Webhookit toimivat ja miten niitä voidaan käyttää validoimaan ja muuttamaan melkein mitä tahansa klusterissa?

#7: Säiliön turvallisuus

Insinöörin tehtävä: Tunne työkalut, joilla voidaan varmistaa kontin turvallisuus ja tehdä hyökkääjän elämä mahdollisimman vaikeaksi.

Käytäntö ja teoria: Mitä kuuluu SELinuxille ja Kubernetesille, onko se tarpeellista? Pitäisikö minun käyttää AppArmoria vai ei? Kuinka kiristää konttiprosessien ruuvit Seccomp-profiilien ja -ominaisuuksien avulla? Mitkä ovat parhaat käytännöt konttiturvallisuuteen Kubernetesin ja sen ulkopuolella?

#8: Salaisuuksien turvallinen säilytys

Insinöörin tehtävä: Osaa tallentaa arkaluontoiset tiedot oikein Kubernetes-klusteriin.

Käytäntö ja teoria: Missä ja miten projektisi salasanoja ja tunnuksia säilytetään niin, että ne ovat turvassa?

#9: Kubernetes Networking

Insinöörin tehtävä: Osaa joustavasti luoda ja hallita verkkosääntöjä Kubernetes-klusterissa.

Käytäntö ja teoria: Miten järjestää ympäristöjen verkkoeristys klusterin sisällä? Kuinka varmistaa, että projekti käyttää vain valittuja päätepisteitä verkon kautta?

#10: Uhkien hallinta Kubernetesissa

Insinöörin tehtävä: Ymmärrä, mihin projektissasi on turvallisuuden näkökulmasta kiinnitettävä huomiota ja missä kohdissa pitää sormi pulssilla.

Käytäntö ja teoria: Miten havainnointi auttaa projektien turvassa?