Drošība Kubernetes - kurss 50 000 rub. no Slurm, apmācība, Datums: 2023. gada 28. novembris.
Literārs Mistrojums / / November 29, 2023
— Mums ir desmitiem uzbūvētu infrastruktūru un simtiem rakstītu CI/CD cauruļvadu,
— sertificēts Kubernetes administrators,
— vairāku kursu par Kubernetes un DevOps autors,
— Regulārs lektors Krievijas un starptautiskās IT konferencēs.
- inženieris ar 8 gadu pieredzi,
— sertificēts Kubernetes administrators,
— Kubernetes ieviešana Southbridge klientiem,
— kursa izstrādātājs un runātājs Slurm.
#1. Ievads
Mēs jums pastāstīsim visu par mācību procesu un to, kā iegūt piekļuvi.
#2: Ievads Kubernetes projekta drošībā
Inženiera uzdevums: Izprast Kubernetes dzīvojoša projekta drošības pamatprincipus. Ziniet par draudu modeļiem.
Prakse un teorija: Kas ir projekta drošība Kubernetes kontekstā? Sec, Dev, Ops — kā ikviens var iegūt draugus un dzīvot laimīgi?
Nr. 3: Vadības plakņu kopas aizsardzība
Inženiera uzdevums: neļaujiet uzbrucējam pārņemt vadību pār kopu. Iepazīstieties ar paraugpraksi Kubernetes galveno komponentu aizsardzībai un sagatavojiet kontrolsarakstu, kas ļauj pārbaudīt, vai projektā nav iespējamas ievainojamības.
Prakse un teorija: nedrošs porta API, ETCD aizsardzība, anonīma autorizācija, kam vēl jāpievērš uzmanība? Kā jūs varat izmantot CIS etalonus, lai uzlabotu pārliecību par drošību?
Nr.4: Autorizācija, autentifikācija un uzskaite Kubernetes
Inženiera uzdevums: dziļā līmenī saprast, kā Kubernetes klasterī darbojas autorizācija un autentifikācija, un zināt, kā tos pareizi sagatavot. Spēt ne tikai droši iestatīt šos procesus, bet arī tos vizualizēt un padarīt lietotāja identifikācijas procesu ērtāku, izmantojot Keycloak.
Prakse un teorija: kā izmantot Keycloak, lai izveidotu funkcionējošu, ērtu un drošu procesu lietotāju identificēšanai klasterī? Kā Kubernetes darbojas autorizācija un autentifikācija?
#5: Skenēšanas automatizācija
Inženiera uzdevums: Iemācieties strādāt ar drošību projekta sākumā – koda rakstīšanas stadijā.
Prakse un teorija: kā pārliecināties, ka rakstītajā kodā nav ievainojamību? Kā var palīdzēt tādi rīki kā Sast/SecretScan un kā tos izmantot? Kā analizēt sensitīvus datus tieši CI?
6: politikas programmas un uzņemšanas kontrolieru izmantošana
Inženiera uzdevums: jāspēj konfigurēt drošības politikas, izmantojot politikas programmu Kubernetes klasterī. Izprotiet, kā darbojas uzņemšanas kontrolieri, un zināt, kā var aizstāt Pod drošības politiku.
Prakse un teorija: kā, izmantojot politikas programmas pārstāvjus, piemēram, Kyverno vai Open Policy Agent, kontrolēt visu, kas ir izveidots klasterī, un aizstāt lielāko daļu uzņemšanas kontrolieru, piemēram, PSP? Kā darbojas uzņemšanas tīmekļa aizķeres un kā tās var izmantot, lai apstiprinātu un mainītu gandrīz jebko klasterī?
#7: konteineru drošība
Inženiera uzdevums: Pārzināt instrumentus, kas var nodrošināt konteinera drošību un maksimāli apgrūtināt dzīvi uzbrucējam.
Prakse un teorija: kas notiek ar SELinux un Kubernetes, vai tas ir nepieciešams? Vai man vajadzētu izmantot AppArmor vai nē? Kā pievilkt skrūves konteineru procesos, izmantojot Seccomp profilus un iespējas? Kāda ir konteineru drošības labākā prakse saistībā ar Kubernetes un ne tikai?
#8: Droša noslēpumu glabāšana
Inženiera uzdevums: zināt, kā pareizi glabāt savus sensitīvos datus Kubernetes klasterī.
Prakse un teorija: kur un kā glabāt sava projekta paroles un marķierus, lai tie būtu droši?
#9: Kubernetes tīkla izveide
Inženiera uzdevums: Spēt elastīgi izveidot un pārvaldīt tīkla noteikumus Kubernetes klasterī.
Prakse un teorija: Kā organizēt vides izolāciju tīklā klasterī? Kā pārliecināties, ka projekts tīklā piekļūst tikai atlasītajiem galapunktiem?
#10: draudu pārvaldība Kubernetes
Inženiera uzdevums: Saprast, kam savā projektā jāpievērš uzmanība no drošības viedokļa un kuros punktos jātur pirksts uz pulsa.
Prakse un teorija: kā novērojamība palīdz projekta drošībā?