Plan du cours
Introduction
Configuration du cluster
- Utiliser les politiques de sécurité du réseau pour restreindre l'accès au niveau du cluster
- Utiliser le benchmark CIS pour examiner la configuration de sécurité des composants Kubernetes (etcd, kubelet, kubedns, kubeapi)
- Configurer correctement les objets Ingress avec un contrôle de sécurité
- Protéger les métadonnées des nœuds et les points d'extrémité
- Minimiser l'utilisation et l'accès aux éléments de l'interface graphique
- Vérifier les binaires de la plateforme avant de les déployer
Durcissement des grappes
- Restreindre l'accès à l'API Kubernetes
- Utiliser des contrôles d'accès basés sur les rôles pour minimiser l'exposition
- Faire preuve de prudence dans l'utilisation des comptes de service, par exemple en désactivant les valeurs par défaut, en minimisant les autorisations sur les comptes nouvellement créés.
- Mettre fréquemment à jour Kubernetes.
Renforcement du système
- Minimiser l'empreinte du système d'exploitation hôte (réduire la surface d'attaque)
- Minimiser les rôles IAM
- Minimiser l'accès externe au réseau
- Utiliser de manière appropriée les outils de durcissement du noyau tels que AppArmor, seccomp, etc.
Minimiser les vulnérabilités des microservices
- Configurer les domaines de sécurité appropriés au niveau du système d'exploitation, par exemple en utilisant PSP, OPA, contextes de sécurité.
- Gérer les secrets kubernetes
- Utiliser des bacs à sable d'exécution de conteneurs dans des environnements multi-locataires (par exemple, gvisor, conteneurs kata)
- Mettre en œuvre le chiffrement de pod à pod par l'utilisation de mTLS
Supply Chain Security
- Minimiser l'empreinte de l'image de base
- Sécurisez votre chaîne d'approvisionnement : établissez une liste blanche des registres d'images autorisés, signez et validez les images.
- Utilisez l'analyse statique des charges de travail des utilisateurs (par exemple, les ressources kubernetes, les fichiers docker).
- Analyser les images pour détecter les vulnérabilités connues
Surveillance, journalisation et sécurité d'exécution
- Analyse comportementale des activités des processus syscall et des fichiers au niveau de l'hôte et du conteneur afin de détecter les activités malveillantes.
- Détecter les menaces au sein de l'infrastructure physique, des applications, des réseaux, des données, des utilisateurs et des charges de travail.
- Détecter toutes les phases de l'attaque, indépendamment de l'endroit où elle se produit et de la manière dont elle se propage.
- Effectuer des recherches analytiques approfondies et identifier les mauvais acteurs au sein de l'environnement
- Garantir l'immuabilité des conteneurs au moment de l'exécution
- Utiliser les journaux d'audit pour surveiller l'accès
Résumé et conclusion
Pré requis
- CKA (Certified Kubernates Administrator) certification
Audience
- Kubernetes praticiens
Nos Clients témoignent (4)
Le formateur Luc est formidable, il a une connaissance approfondie du sujet, une approche humaine et une capacité a s'adapter aux besoins en live.
Salim - LHH
Formation - Certified Kubernetes Administrator (CKA) - exam preparation
Laboratoires intéressants, aide du formateur
Alexey - Tink Poland sp. z o. o.
Formation - Certified Kubernetes Application Developer (CKAD) - exam preparation
Traduction automatique
Exercices pratiques
Tobias - Elisa Polystar
Formation - Docker and Kubernetes: Building and Scaling a Containerized Application
Traduction automatique
Exemples d'applications réelles
Łukasz - Rossmann SDP Sp. z o.o.
Formation - Docker (introducing Kubernetes)
Traduction automatique