Schulungsübersicht
Einführung
Cluster Setup
- Verwendung von Netzwerksicherheitsrichtlinien zur Einschränkung des Zugriffs auf Clusterebene
- CIS-Benchmark zur Überprüfung der Sicherheitskonfiguration von Kubernetes Komponenten (etcd, kubelet, kubedns, kubeapi) verwenden
- Ordnungsgemäße Einrichtung von Ingress-Objekten mit Sicherheitskontrolle
- Schützen Sie Knoten-Metadaten und Endpunkte
- Minimierung der Verwendung von und des Zugriffs auf GUI-Elemente
- Überprüfen Sie die Plattform-Binärdateien vor der Bereitstellung
Cluster-Härtung
- Beschränken Sie den Zugriff auf Kubernetes API
- Verwenden Sie rollenbasierte Zugriffskontrollen, um die Gefährdung zu minimieren.
- Vorsicht bei der Verwendung von Dienstkonten, z. B. Deaktivieren von Standardeinstellungen, Minimieren von Berechtigungen für neu erstellte Konten
- Aktualisieren Sie Kubernetes häufig
System Hardening
- Minimierung des Fußabdrucks des Host-Betriebssystems (Reduzierung der Angriffsfläche)
- IAM-Rollen minimieren
- Minimierung des externen Zugriffs auf das Netzwerk
- Angemessener Einsatz von Kernel-Hardening-Tools wie AppArmor, seccomp
Schwachstellen von Microservices minimieren
- Einrichtung geeigneter Sicherheitsdomänen auf Betriebssystemebene, z. B. mit PSP, OPA, Sicherheitskontexten
- Verwaltung von Kubernetes-Geheimnissen
- Verwendung von Container-Laufzeit-Sandboxen in mandantenfähigen Umgebungen (z. B. gvisor, kata-Container)
- Implementierung von Pod-zu-Pod-Verschlüsselung mittels mTLS
Supply Chain Security
- Minimierung des Fußabdrucks der Basisbilder
- Sichern Sie Ihre Lieferkette: Whitelist zulässiger Image-Registrierungen, Signieren und Validieren von Images
- Statische Analyse von Benutzer-Workloads (z. B. Kubernetes-Ressourcen, Docker-Dateien)
- Scannen Sie Images auf bekannte Schwachstellen
Überwachung, Protokollierung und Laufzeitsicherheit
- Durchführung von Verhaltensanalysen von Syscall-Prozess- und Datei-Aktivitäten auf Host- und Container-Ebene zur Erkennung bösartiger Aktivitäten
- Erkennung von Bedrohungen in der physischen Infrastruktur, in Anwendungen, Netzwerken, Daten, Benutzern und Workloads
- Erkennung aller Angriffsphasen, unabhängig davon, wo sie stattfinden und wie sie sich ausbreiten
- Durchführung tiefgreifender analytischer Untersuchungen und Identifizierung bösartiger Akteure in der Umgebung
- Sicherstellung der Unveränderlichkeit von Containern zur Laufzeit
- Verwendung von Audit-Protokollen zur Überwachung des Zugriffs
Zusammenfassung und Schlussfolgerung
Voraussetzungen
- CKA (Certified Kubernates Administrator) Zertifizierung
Publikum
- Kubernetes Praktiker
Erfahrungsberichte (7)
Wir haben von allem ein bisschen was gesehen
Luis Manuel Navarro Rangel - Vivelink S.A. de C.V.
Kurs - Docker and Kubernetes
Maschinelle Übersetzung
Anwendungsbeispiele aus der Praxis
Łukasz - Rossmann SDP Sp. z o.o.
Kurs - Docker (introducing Kubernetes)
Maschinelle Übersetzung
Praktische Übungen
Tobias - Elisa Polystar
Kurs - Docker and Kubernetes: Building and Scaling a Containerized Application
Maschinelle Übersetzung
Die Verfügbarkeit des virtuellen Desktops als eine Art Sandkasten, mit dem die Teilnehmer herumspielen können, ist großartig!
Benedict - Questronix Corporation
Kurs - OpenShift 4 for Administrators
Maschinelle Übersetzung
Die praktischen Übungen waren sehr wichtig für das Lernen, und die ausführlichen Erklärungen, wie die Dinge hinter den Kulissen funktionieren, machten alles klarer.
Otavio Marchioli dos Santos - ExitLag
Kurs - Kubernetes from Basic to Advanced
Maschinelle Übersetzung
Concepts learnt and how to set up the k8 clusters
Sekgwa Ramatshosa - Vodacom SA
Kurs - Kubernetes on AWS
The explanation and background of each concept, to get a better understanding