0
views
Turvalisus Kubernetes - kursus 50 000 hõõruda. Slurmist, koolitus, Kuupäev: 28.11.2023.
Varia / / November 29, 2023
— Meil on kümneid ehitatud infrastruktuure ja sadu kirjutatud CI/CD torujuhtmeid,
— Kubernetese sertifitseeritud administraator,
— mitmete Kubernetese ja DevOpsi kursuste autor,
— Regulaarne esineja Venemaa ja rahvusvahelistel IT-konverentsidel.
- 8-aastase kogemusega insener,
— Kubernetese sertifitseeritud administraator,
— Kubernetese juurutused Southbridge'i klientidele,
— Kursuse arendaja ja esineja Slurm.
#1. Sissejuhatus
Räägime teile kõike õppeprotsessi ja juurdepääsu saamise kohta.
#2: Sissejuhatus Kubernetese projekti turvalisusesse
Inseneri ülesanne: Mõista Kubernetes elava projekti põhilisi turvalisuse põhimõtteid. Teadke ohumudelitest.
Praktika ja teooria: Mis on projekti turvalisus Kubernetese kontekstis? Sec, Dev, Ops – kuidas saavad kõik sõbrad leida ja õnnelikult elada?
Nr 3: Juhttasandi klastri kaitse
Inseneri ülesanne: takistada ründajal klastri üle kontrolli üle võtmast. Teadke Kubernetese põhikomponentide kaitsmise parimaid tavasid ja omage käes olevat kontrollnimekirja, mis võimaldab teil kontrollida projekti võimalikke haavatavusi.
Praktika ja teooria: ebaturvaline pordi API, ETCD kaitse, anonüümne autoriseerimine, millele veel tähelepanu pöörata? Kuidas saate CIS-i võrdlusaluseid oma turvakindluse suurendamiseks kasutada?
Nr 4: Autoriseerimine, autentimine ja arvestus Kubernetesis
Inseneri ülesanne: mõista sügaval tasemel, kuidas autoriseerimine ja autentimine Kubernetese klastris toimivad, ning oskama neid õigesti ette valmistada. Suuda neid protsesse mitte ainult turvaliselt seadistada, vaid ka visualiseerida ning muuta kasutaja tuvastamise protsess Keycloaki abil mugavamaks.
Praktika ja teooria: kuidas kasutada Keycloaki töötava, mugava ja turvalise protsessi loomiseks klastri kasutajate tuvastamiseks? Kuidas autoriseerimine ja autentimine Kubernetesis töötavad?
#5: skannimise automatiseerimine
Inseneri ülesanne: õppige töötama turvalisusega projekti alguses – koodi kirjutamise etapis.
Praktika ja teooria: kuidas veenduda, et kirjutatud koodis pole haavatavusi? Kuidas saavad abiks olla sellised tööriistad nagu Sast/SecretScan ja kuidas neid kasutada? Kuidas analüüsida tundlikke andmeid otse CI-s?
#6: poliitikamootori ja sissepääsukontrollerite kasutamine
Inseneri ülesanne: oskama Kubernetese klastris poliitikamootori abil turvapoliitikaid konfigureerida. Saate aru, kuidas sissepääsukontrollerid töötavad, ja teadke, kuidas saab Podi turvapoliitikat asendada.
Praktika ja teooria: kuidas kasutada Policy Engine'i esindajaid, nagu Kyverno või Open Policy Agent, juhtida kõike, mis klastris luuakse, ja asendada enamik sissepääsukontrollereid, nt PSP? Kuidas sisseastumise veebihaagid töötavad ja kuidas saab neid kasutada peaaegu kõike klastris olevaks kinnitamiseks ja muutmiseks?
#7: konteinerite turvalisus
Inseneri ülesanne: Teadke tööriistu, millega saab tagada konteineri turvalisuse ja teha ründaja elu võimalikult keeruliseks.
Praktika ja teooria: mis on SELinuxi ja Kubernetesega, kas see on vajalik? Kas ma peaksin kasutama AppArmori või mitte? Kuidas Seccompi profiile ja võimalusi kasutades konteineriprotsesside kruvisid kinni keerata? Millised on konteinerite turvalisuse parimad tavad Kubernetese kontekstis ja mujal?
#8: Saladuste turvaline säilitamine
Inseneri ülesanne: teadke, kuidas oma tundlikke andmeid Kubernetese klastris õigesti salvestada.
Praktika ja teooria: kus ja kuidas hoida oma projekti paroole ja märke, et need oleksid turvalised?
#9: Kubernetese võrgundus
Inseneri ülesanne: Suuda paindlikult luua ja hallata Kubernetese klastris võrgureegleid.
Praktika ja teooria: Kuidas korraldada klastri sees olevate keskkondade võrguisolatsiooni? Kuidas tagada, et projekt pääseb võrgu kaudu juurde ainult valitud lõpp-punktidele?
#10: Kubernetes'i ohtude juhtimine
Inseneri ülesanne: Saage aru, millele peate oma projektis ohutuse seisukohalt tähelepanu pöörama ja millistel punktidel hoida kätt pulsil.
Praktika ja teooria: kuidas jälgitavus aitab kaasa projekti turvalisusele?
Subscribe