Varnost v Kubernetesu - tečaj 50.000 rub. iz Slurma, trening, Datum: 28.11.2023.

Miscellanea / by admin / November 29, 2023

click fraud protection

— Imamo na desetine zgrajenih infrastruktur in na stotine pisnih cevovodov CI/CD,
— certificirani skrbnik Kubernetes,
— avtor več tečajev o Kubernetes in DevOps,
— Redni predavatelj na ruskih in mednarodnih IT konferencah.

— inženir z 8 letnimi izkušnjami,
— certificirani skrbnik Kubernetes,
— Izvedbe Kubernetes za odjemalce Southbridge,
— Razvijalec tečaja in govorec Slurm.

#1. Uvod

Povedali vam bomo vse o učnem procesu in kako pridobiti dostop.

#2: Uvod v varnost projekta Kubernetes

Naloga inženirja: Razumeti osnovna varnostna načela projekta, ki živi v Kubernetesu. Spoznajte modele groženj.

Praksa in teorija: Kaj je varnost projekta v kontekstu Kubernetesa? Sec, Dev, Ops – kako lahko vsi sklepajo prijateljstva in živijo srečno?

Št. 3: Zaščita gruče nadzorne ravnine

Naloga inženirja: Preprečiti napadalcu prevzem nadzora nad gručo. Spoznajte najboljše prakse za zaščito glavnih komponent Kubernetesa in imejte pri roki kontrolni seznam, ki vam omogoča, da preverite, ali projekt vsebuje morebitne ranljivosti.

instagram viewer

Praksa in teorija: Insecure port API, ETCD zaščita, anonimna avtorizacija, na kaj še morate biti pozorni? Kako lahko uporabite CIS Benchmarks, da izboljšate svoje varnostno zaupanje?

Št. 4: Avtorizacija, avtentikacija in obračunavanje v Kubernetesu

Naloga inženirja: Na globoki ravni razumeti, kako avtorizacija in avtentikacija delujeta v gruči Kubernetes, in vedeti, kako ju pravilno pripraviti. Bodite sposobni ne le varno nastaviti teh procesov, ampak jih tudi vizualizirati in narediti postopek identifikacije uporabnika bolj udoben z uporabo Keycloak.

Praksa in teorija: Kako uporabiti Keycloak za izgradnjo delujočega, priročnega in varnega postopka za identifikacijo uporabnikov v gruči? Kako avtorizacija in avtentikacija delujeta v Kubernetesu?

#5: Avtomatizacija skeniranja

Naloga inženirja: Naučiti se delati z varnostjo na začetku projekta – v fazi pisanja kode.

Praksa in teorija: Kako se prepričati, da v napisani kodi ni ranljivosti? Kako lahko pomagajo orodja, kot je Sast/SecretScan, in kako jih uporabljati? Kako analizirati občutljive podatke neposredno v CI?

#6: Uporaba mehanizma politik in krmilnikov za sprejem

Naloga inženirja: biti sposoben konfigurirati varnostne politike z uporabo Policy Engine znotraj gruče Kubernetes. Spoznajte, kako delujejo sprejemni krmilniki, in kako je mogoče zamenjati varnostno politiko Pod.

Praksa in teorija: Kako z uporabo predstavnikov Policy Engine, kot sta Kyverno ali Open Policy Agent, nadzirati vse kar se ustvari v gruči in nadomestiti večino Admission Controllerjev, kot npr PSP? Kako delujejo Admission Webhooks in kako jih je mogoče uporabiti za preverjanje in spreminjanje skoraj česar koli v gruči?

#7: Varnost zabojnikov

Naloga inženirja: Poznavanje orodij, ki lahko zagotovijo varnost vsebnika in čim bolj otežijo življenje napadalcu.

Praksa in teorija: Kaj je s SELinuxom in Kubernetesom, ali je to potrebno? Naj uporabljam AppArmor ali ne? Kako zategniti vijake na vsebniških procesih z uporabo profilov in zmogljivosti Seccomp? Katere so najboljše prakse za varnost vsebnikov v kontekstu Kubernetesa in širše?

#8: Varno shranjevanje skrivnosti

Naloga inženirja: vedeti, kako pravilno shraniti svoje občutljive podatke v gručo Kubernetes.

Praksa in teorija: Kje in kako shraniti gesla in žetone vašega projekta, da bodo varni?

#9: Omrežje Kubernetes

Naloga inženirja: biti sposoben prilagodljivo ustvariti in upravljati omrežna pravila v gruči Kubernetes.

Praksa in teorija: Kako organizirati omrežno izolacijo okolij znotraj gruče? Kako zagotoviti, da projekt dostopa samo do izbranih končnih točk prek omrežja?