Certified Kubernetes Security Specialist (CKS)

Kubernetes è un sistema open source per automatizzare la distribuzione, la scalabilità e la gestione delle applicazioni containerizzate.

Certified Kubernetes Security Specialist (CKS) è un esame di certificazione basato sulle prestazioni che verifica la conoscenza dei candidati di Kubernetes e della sicurezza del cloud in un ambiente simulato e reale.

Questa formazione dal vivo con istruttore (online o in loco) è rivolta a Kubernetes professionisti che desiderano prepararsi per l'esame CKS.

Al termine di questa formazione, i partecipanti sapranno come proteggere gli ambienti Kubernetes e le applicazioni basate su container nelle diverse fasi del ciclo di vita di un'applicazione: compilazione, distribuzione e runtime.

Formato del corso

• Lezione interattiva e discussione.
• Un sacco di esercizi e pratica.
• Implementazione pratica in un ambiente di laboratorio dal vivo.

Opzioni di personalizzazione del corso

• Certificazione CKA (Certified Kubernates Administrator)

• Kubernetes Praticanti

Configurazione del cluster

• Usare i criteri di sicurezza di rete per limitare l'accesso a livello di cluster
• Utilizzare il benchmark CIS per esaminare la configurazione di sicurezza di Kubernetes componenti (etcd, kubelet, kubedns, kubeapi)
• Configurare correttamente gli oggetti in entrata con il controllo di sicurezza
• Proteggere i metadati e gli endpoint dei nodi
• Ridurre al minimo l'uso e l'accesso agli elementi della GUI
• Verificare i file binari della piattaforma prima della distribuzione

Protezione avanzata dei cluster

• Limitare l'accesso all'API Kubernetes
• Utilizzare i controlli degli accessi in base al ruolo per ridurre al minimo l'esposizione
• Prestare attenzione nell'utilizzo degli account di servizio, ad esempio disabilitare le impostazioni predefinite, ridurre al minimo le autorizzazioni per quelli appena creati
• Aggiorna Kubernetes frequentemente

Rafforzamento del sistema

• Ridurre al minimo il footprint del sistema operativo host (ridurre la superficie di attacco)
• Riduci al minimo i ruoli IAM
• Riduci al minimo l'accesso esterno alla rete
• Utilizzare in modo appropriato gli strumenti di hardening del kernel come AppArmor, seccomp

Riduci al minimo le vulnerabilità dei microservizi

• Configurare domini di sicurezza appropriati a livello di sistema operativo, ad esempio utilizzando PSP, OPA e contesti di sicurezza
• Gestire i segreti di KubernetesManage kubernetes secrets
• Usare sandbox di runtime dei contenitori in ambienti multi-tenant (ad esempio, gvisor, contenitori kata)
• Implementare la crittografia da pod a pod tramite l'uso di mTLS

Supply Chain Security

• Ridurre al minimo l'ingombro dell'immagine di base
• Proteggi la tua catena di approvvigionamento: autorizza i registri delle immagini consentite, firma e convalida le immagini
• Usare l'analisi statica dei carichi di lavoro degli utenti (ad esempio, risorse Kubernetes, file Docker)
• Scansiona le immagini alla ricerca di vulnerabilità note

Monitoraggio, registrazione e sicurezza in fase di esecuzione

• Esegui l'analisi comportamentale delle attività dei processi e dei file delle chiamate di sistema a livello di host e container per rilevare attività dannose
• Rileva le minacce all'interno dell'infrastruttura fisica, delle app, delle reti, dei dati, degli utenti e dei carichi di lavoro
• Rileva tutte le fasi dell'attacco, indipendentemente da dove si verifica e da come si diffonde
• Eseguire un'indagine analitica approfondita e l'identificazione di malintenzionati all'interno dell'ambiente
• Garantire l'immutabilità dei contenitori in fase di esecuzione
• Usare i log di controllo per monitorare l'accesso

Riassunto e conclusione