Εξέλιξη Κομματιού
Εισαγωγή
Setup του Συνόλου Κύκλων (Cluster)
- Χρησιμοποιείτε πολιτικές δικτυακής ασφάλειας για τον περιορισμό του cluster-level access
- Χρησιμοποιείτε το benchmark CIS (Center for Internet Security) για να αξιολογήσετε την ρύθμιση ασφάλειας των συστατικών του Kubernetes (etcd, kubelet, kubedns, kubeapi)
- Ρυθμίζετε ορθά Ingress objects με ελέγχους ασφάλειας
- Προστατεύετε τα δεδομένα και τους σημείους πρόσβασης των nodes (κόμβων)
- Ελαχιστοποιείτε τη χρήση και την πρόσβαση σε GUI στοιχεία
- Έλεγχε τα αρχεία εκτέλεσης (binaries) της πλατφόρμας πριν από τη διάθεσή τους
Προστασία του Συνόλου Κύκλων (Cluster Hardening)
- Περιορίζετε την πρόσβαση στο Kubernetes API
- Χρησιμοποιείτε έλεγχους πρόσβασης με βάση ρόλους (Role Based Access Controls) για να ελαχιστοποιήσετε την εκτύπωση
- Προσέχετε κατά τη χρήση service accounts, για παράδειγμα, απενεργοποιώντας τους προκαθορισμένους (defaults), ελαχιστοποιώντας τα δικαιώματα στους νεωτερικά δημιουργημένους
- Ενημερώνετε το Kubernetes συχνά
Προστασία του Συστήματος (System Hardening)
- Ελαχιστοποιείτε την έμφαση στο host OS (μείωση του επιθετικού πεδίου)
- Ελαχιστοποιείτε τους ρόλους IAM
- Ελαχιστοποιείτε την εξωτερική πρόσβαση στο δίκτυο
- Χρησιμοποιείτε κατάλληλα εργαλεία αναδυτικής προστασίας του kernel, όπως το AppArmor, seccomp
Ελαχιστοποίηση των Αδυναμιών των Microservices
- Ρυθμίζετε κατάλληλους επιπέδους ασφάλειας σε OS, για παράδειγμα χρησιμοποιώντας PSP (Pod Security Policy), OPA (Open Policy Agent), security contexts
- Διαχείριση των κυφένων Kubernetes (secrets)
- Χρησιμοποιείτε περιβάλλοντα υλοποίησης περιεκλειστών σε περιβάλλοντα με πολλούς ενοικιάστες (multi-tenant) (για παράδειγμα, gvisor, kata containers)
- Υλοποιείτε κρυπτογράφηση μεταξύ pods χρησιμοποιώντας mTLS (mutual TLS)
Ασφάλεια του Εφοδιασμού (Supply Chain Security)
- Ελαχιστοποιείτε την έμφαση των βασικών εικόνων (base image footprint)
- Ασφαλίζετε το supply chain σας: whitelist τους προσδοκούμενους εικονοθήκες εικόνων, υπογράφετε και επιβεβαιώνετε τα εικόνια
- Χρησιμοποιείτε στατική ανάλυση χρηστικών φορτίων (user workloads), για παράδειγμα, Kubernetes resources, docker files
- Εξέταζε τα εικόνια συστηματικά για γνωστές αδυναμίες (vulnerabilities)
Παρακολούθηση, Καταγραφή και Ασφάλεια του Λειτουργικού (Monitoring, Logging and Runtime Security)
- Εκτελέστε αναλυτικές διαδικασίες συμπεριφοράς syscall process και file activities και στην επίπεδο host και container για την ανίχνευση πονηρόδουλων δραστηριοτήτων
- Ανιχνεύστε απειλές εντός της φυσικής υποδομής, εφαρμογών, δικτύων, δεδομένων, χρηστών και φορτίων
- Ανιχνεύστε όλα τα στάδια επίθεσης ανεξάρτητα από το πού και πώς διαδίδεται
- Εκτελέστε βαθιά αναλυτική έρευνα και αναγνώριση κακόβουλων πράξεων στο περιβάλλον
- Εξασφαλίζετε την μη-τροποποιημένη κατάσταση (immutability) των περικλεισμένων σε λειτουργία
- Χρησιμοποιείτε τα Audit Logs για τη μόνιμη καταγραφή πρόσβασης
Περίληψη και Συμπέρασμα
Απαιτήσεις
- Πιστοποίηση CKA (Certified Kubernetes Administrator)
Ακροατήριο
- Πρακτικοί Kubernetes
Σχόλια (5)
Σχετικά με τα μικρουπηρεσίες και πώς να διατηρήσετε το Kubernetes
Yufri Isnaini Rochmat Maulana - Bank Indonesia
Κομμάτι - Advanced Platform Engineering: Scaling with Microservices and Kubernetes
Μηχανική Μετάφραση
Η μέθοδος με την οποία προσέλθε κάθε έναν απ' εμάς όταν μας εξηγούσε το που δεν καταλαβαίναμε.
Marian - REGNOLOGY ROMANIA S.R.L.
Κομμάτι - Deploying Kubernetes Applications with Helm
Μηχανική Μετάφραση
Εξήγησε πάντα, όχι μόνο τις ιδέες σχετικά με το k8s.
Stefan Voinea - EMAG IT Research S.R.L
Κομμάτι - Certified Kubernetes Application Developer (CKAD) - exam preparation
Μηχανική Μετάφραση
Βάθος γνώσεων του εκπαιδευτή
Grant Miller - BMW
Κομμάτι - Certified Kubernetes Administrator (CKA) - exam preparation
Μηχανική Μετάφραση
There was a lot to lean, but it never felt rushed.
thomas gardner - National Oceanography Centre
Κομμάτι - Docker, Kubernetes and OpenShift for Administrators
Μηχανική Μετάφραση
