Bezpieczeństwo w Kubernetesie – kurs 50 000 rub. ze Slurm, szkolenie, data: 28.11.2023.

#1. Wstęp

Opowiemy Ci wszystko o procesie nauki i o tym, jak uzyskać dostęp.

#2: Wprowadzenie do bezpieczeństwa projektu Kubernetes

Zadanie inżyniera: Zrozumienie podstawowych zasad bezpieczeństwa projektu mieszkającego w Kubernetesie. Wiedza o modelach zagrożeń.

Praktyka i teoria: Czym jest bezpieczeństwo projektu w kontekście Kubernetes? Sec, Dev, Ops - jak wszyscy mogą zawierać przyjaźnie i żyć szczęśliwie?

Nr 3: Ochrona klastra Płaszczyzny Kontroli

Zadanie inżyniera: Uniemożliwić atakującemu przejęcie kontroli nad klastrem. Poznaj najlepsze praktyki ochrony głównych komponentów Kubernetesa i miej pod ręką listę kontrolną, która pozwoli Ci sprawdzić projekt pod kątem potencjalnych podatności.

Praktyka i teoria: Niepewne API portu, ochrona ETCD, anonimowa autoryzacja, na co jeszcze zwrócić uwagę? W jaki sposób można wykorzystać testy porównawcze CIS, aby zwiększyć pewność siebie w zakresie bezpieczeństwa?

Nr 4: Autoryzacja, uwierzytelnianie i rozliczanie w Kubernetes

Zadanie inżyniera: Dogłębnie zrozumieć, jak działają autoryzacja i uwierzytelnianie w klastrze Kubernetes i wiedzieć, jak je poprawnie przygotować. Potrafić nie tylko bezpiecznie skonfigurować te procesy, ale także je zwizualizować i sprawić, że proces identyfikacji użytkownika będzie wygodniejszy za pomocą Keycloak.

Praktyka i teoria: Jak wykorzystać Keycloak do zbudowania działającego, wygodnego i bezpiecznego procesu identyfikacji użytkowników w klastrze? Jak działa autoryzacja i uwierzytelnianie w Kubernetesie?

#5: Automatyzacja skanowania

Zadanie inżyniera: Nauczyć się pracować z bezpieczeństwem już na etapie powstawania projektu – już na etapie pisania kodu.

Praktyka i teoria: Jak upewnić się, że w napisanym kodzie nie ma luk? W jaki sposób narzędzia takie jak Sast/SecretScan mogą pomóc i jak z nich korzystać? Jak analizować wrażliwe dane bezpośrednio w CI?

#6: Korzystanie z silnika zasad i kontrolerów dostępu

Zadanie inżyniera: Potrafić konfigurować polityki bezpieczeństwa przy użyciu Policy Engine wewnątrz klastra Kubernetes. Zrozum, jak działają Kontrolerzy Wstępu i dowiedz się, jak można zastąpić Politykę Bezpieczeństwa Podów.

Praktyka i teoria: Jak korzystając z przedstawicieli Policy Engine takich jak Kyverno czy Open Policy Agent, kontroluj wszystko, co powstaje w klastrze i zastąp większość Kontrolerów Wstępu, takich jak PSP? Jak działają elementy Admission Webhook i jak można ich używać do sprawdzania poprawności i zmiany niemal wszystkiego w klastrze?

#7: Bezpieczeństwo kontenera

Zadanie inżyniera: Znać narzędzia, które mogą zapewnić bezpieczeństwo kontenera i maksymalnie utrudnić życie atakującemu.

Praktyka i teoria: Co się dzieje z SELinuxem i Kubernetesem, czy jest to konieczne? Czy powinienem używać AppArmor, czy nie? Jak dokręcić śruby w procesach kontenerowych przy użyciu profili i możliwości Seccomp? Jakie są najlepsze praktyki dotyczące bezpieczeństwa kontenerów w kontekście Kubernetes i nie tylko?

#8: Bezpieczne przechowywanie tajemnic

Zadanie inżyniera: Dowiedz się, jak prawidłowo przechowywać wrażliwe dane w klastrze Kubernetes.

Praktyka i teoria: Gdzie i jak przechowywać hasła i tokeny Twojego projektu, aby były bezpieczne?

#9: Sieć Kubernetes

Zadanie inżyniera: Potrafić elastycznie tworzyć i zarządzać regułami sieciowymi w klastrze Kubernetes.

Praktyka i teoria: Jak zorganizować izolację sieciową środowisk w ramach klastra? Jak mieć pewność, że projekt będzie miał dostęp przez sieć tylko do wybranych punktów końcowych?

#10: Zarządzanie zagrożeniami w Kubernetesie

Zadanie inżyniera: Zrozumieć, na co trzeba zwrócić uwagę w swoim projekcie ze względów bezpieczeństwa i w jakich momentach trzymać rękę na pulsie.

Praktyka i teoria: Jak obserwowalność pomaga w bezpieczeństwie projektu?