Schulungsübersicht
Einführung
Cluster Setup
- Verwendung von Netzwerksicherheitsrichtlinien zur Einschränkung des Zugriffs auf Clusterebene
- CIS-Benchmark zur Überprüfung der Sicherheitskonfiguration von Kubernetes Komponenten (etcd, kubelet, kubedns, kubeapi) verwenden
- Ordnungsgemäße Einrichtung von Ingress-Objekten mit Sicherheitskontrolle
- Schützen Sie Knoten-Metadaten und Endpunkte
- Minimierung der Verwendung von und des Zugriffs auf GUI-Elemente
- Überprüfen Sie die Plattform-Binärdateien vor der Bereitstellung
Cluster-Härtung
- Beschränken Sie den Zugriff auf Kubernetes API
- Verwenden Sie rollenbasierte Zugriffskontrollen, um die Gefährdung zu minimieren.
- Vorsicht bei der Verwendung von Dienstkonten, z. B. Deaktivieren von Standardeinstellungen, Minimieren von Berechtigungen für neu erstellte Konten
- Aktualisieren Sie Kubernetes häufig
System Hardening
- Minimierung des Fußabdrucks des Host-Betriebssystems (Reduzierung der Angriffsfläche)
- IAM-Rollen minimieren
- Minimierung des externen Zugriffs auf das Netzwerk
- Angemessener Einsatz von Kernel-Hardening-Tools wie AppArmor, seccomp
Schwachstellen von Microservices minimieren
- Einrichtung geeigneter Sicherheitsdomänen auf Betriebssystemebene, z. B. mit PSP, OPA, Sicherheitskontexten
- Verwaltung von Kubernetes-Geheimnissen
- Verwendung von Container-Laufzeit-Sandboxen in mandantenfähigen Umgebungen (z. B. gvisor, kata-Container)
- Implementierung von Pod-zu-Pod-Verschlüsselung mittels mTLS
Supply Chain Security
- Minimierung des Fußabdrucks der Basisbilder
- Sichern Sie Ihre Lieferkette: Whitelist zulässiger Image-Registrierungen, Signieren und Validieren von Images
- Statische Analyse von Benutzer-Workloads (z. B. Kubernetes-Ressourcen, Docker-Dateien)
- Scannen Sie Images auf bekannte Schwachstellen
Überwachung, Protokollierung und Laufzeitsicherheit
- Durchführung von Verhaltensanalysen von Syscall-Prozess- und Datei-Aktivitäten auf Host- und Container-Ebene zur Erkennung bösartiger Aktivitäten
- Erkennung von Bedrohungen in der physischen Infrastruktur, in Anwendungen, Netzwerken, Daten, Benutzern und Workloads
- Erkennung aller Angriffsphasen, unabhängig davon, wo sie stattfinden und wie sie sich ausbreiten
- Durchführung tiefgreifender analytischer Untersuchungen und Identifizierung bösartiger Akteure in der Umgebung
- Sicherstellung der Unveränderlichkeit von Containern zur Laufzeit
- Verwendung von Audit-Protokollen zur Überwachung des Zugriffs
Zusammenfassung und Schlussfolgerung
Voraussetzungen
- CKA (Certified Kubernates Administrator) Zertifizierung
Publikum
- Kubernetes Praktiker
Erfahrungsberichte (4)
Der Trainer Luc ist großartig, er hat ein umfassendes Wissen über das Thema, einen menschlichen Ansatz und die Fähigkeit, sich live an die Bedürfnisse anzupassen.
Salim - LHH
Kurs - Certified Kubernetes Administrator (CKA) - exam preparation
Maschinelle Übersetzung
klare Erklärung und ckad-Tool
Sebastian - EY GLOBAL SERVICES (POLAND) SP Z O O
Kurs - Certified Kubernetes Application Developer (CKAD) - exam preparation
Maschinelle Übersetzung
Praktische Übungen
Tobias - Elisa Polystar
Kurs - Docker and Kubernetes: Building and Scaling a Containerized Application
Maschinelle Übersetzung
Anwendungsbeispiele aus der Praxis
Łukasz - Rossmann SDP Sp. z o.o.
Kurs - Docker (introducing Kubernetes)
Maschinelle Übersetzung