Kubernetes Security
Classroom Schulung | Deutsch | Anspruch
Schulungsdauer: 3 Tage
Ziele
Die Kubernetes-Security Schulung richtet sich an erfahrene Entwickler, System Administratoren und DevOps-Ingenieure, die Kubernetes-Cluster einfach über die betrieblichen Aspekte hinaus sichern wollen. Kubernetes ist ein Open-Source-Container-/Orchestrierungssystem, das zur Erstellung einer hoch skalierbaren, wartbaren und zuverlässigen Infrastrukturautomatisierung verwendet wird.
Im Workshop
- lernen Sie zunächst, wie Kubernetes-Cluster falsch konfiguriert werden und wie Sie Sicherheitsschwachstellen verursachen können.
- erwerben Sie anschließend anhand von praktischen Beispielen in einem Kubernetes-Cluster neue Kenntnisse zur Identifizierung und Entschärfung von Sicherheitsproblemen innerhalb eines Clusters.
- untersuchen Sie die Leistungsoptimierung von Kubernetes-Clustern und die nötigen Maßnahmen, um die Leistung zu steigern, ohne die Sicherheit des Clusters zu beeinträchtigen.
- werden Sie schließlich die Architektur der Kubernetes-Security verstehen und die notwendigen Kenntnisse für die Sicherung eines Clusters erwerben.
Zielgruppe
- Softwareentwickler
- DevOps-Ingenieure
- System Administrator
Voraussetzungen
- Gute Kenntnisse in Kubernetes
Agenda
Grundlagen
- Die sicherheitsrelevanten Ebenen in Kubernetes
- Typische Angriffsvektoren
Nodes
- Absichern der Nodes
- Härten und die Angriffssoberfläche verringern
Role Base Access Control (RBAC)
- Wie funktioniert RBAC
- An welchen Stellen spielt RBAC in Kubernetes eine Rolle
- User, ServiceAccount (sa) und Group
- Role, ClusterRole
- RoleBinding, ClusterRoleBinding
- Praktische Umsetzung von RBAC
Sicherheitsregeln durchsetzen
- PSA (PodSecurity Adminssion)
- Der AdmissionController
Pod Sicherheit
- ServiceAccounts (automount) mounten oder nicht.
- Muss jeder Pod auf den Kuberentes Api - Server zugreifen können ?
- Sicherheitskritische Themen in Bezug auf Pods
Unprivilegierte Pods/Container
- Was ist zu beachten ?
- Welche Images setzen ich ein ?
- Wie kann ich Probleme lösen
- Wie debugge ich non-root - Container/Pods
- Praktische Verwendung eins non-root pod
Der Security Context
- Was ist der SecurityContext
- seccomp
- Linux capabilities
- privileged/unprivileged
- appArmor / SELinux
Network Policies
- Network Policies verstehen
- Network Policies praktisch umsetzen
ServiceMesh
- Warum ein ServiceMesh ?
- Funktionsweise eines ServiceMeshs?
- Verwendung eines ServiceMeshs anhand von istio
Image Security
- Image Security Scanning
Ziele
Die Kubernetes-Security Schulung richtet sich an erfahrene Entwickler, System Administratoren und DevOps-Ingenieure, die Kubernetes-Cluster einfach über die betrieblichen Aspekte hinaus sichern wollen. Kubernetes ist ein Open-Source-Container-/Orchestrierungssystem, das zur Erstellung einer hoch skalierbaren, wartbaren und zuverlässigen Infrastrukturautomatisierung verwendet wird.
Im Workshop
- lernen Sie zunächst, wie Kubernetes-Cluster falsch konfiguriert werden und wie Sie Sicherheitsschwachstellen verursachen können.
- erwerben Sie anschließend anhand von praktischen Beispielen in einem Kubernetes-Cluster neue Kenntnisse zur Identifizierung und Entschärfung von Sicherheitsproblemen innerhalb eines Clusters.
- untersuchen Sie die Leistungsoptimierung von Kubernetes-Clustern und die nötigen Maßnahmen, um die Leistung zu steigern, ohne die Sicherheit des Clusters zu beeinträchtigen.
- werden Sie schließlich die Architektur der Kubernetes-Security verstehen und die notwendigen Kenntnisse für die Sicherung eines Clusters erwerben.
Zielgruppe
- Softwareentwickler
- DevOps-Ingenieure
- System Administrator
Voraussetzungen
- Gute Kenntnisse in Kubernetes
Agenda
Grundlagen
- Die sicherheitsrelevanten Ebenen in Kubernetes
- Typische Angriffsvektoren
Nodes
- Absichern der Nodes
- Härten und die Angriffssoberfläche verringern
Role Base Access Control (RBAC)
- Wie funktioniert RBAC
- An welchen Stellen spielt RBAC in Kubernetes eine Rolle
- User, ServiceAccount (sa) und Group
- Role, ClusterRole
- RoleBinding, ClusterRoleBinding
- Praktische Umsetzung von RBAC
Sicherheitsregeln durchsetzen
- PSA (PodSecurity Adminssion)
- Der AdmissionController
Pod Sicherheit
- ServiceAccounts (automount) mounten oder nicht.
- Muss jeder Pod auf den Kuberentes Api - Server zugreifen können ?
- Sicherheitskritische Themen in Bezug auf Pods
Unprivilegierte Pods/Container
- Was ist zu beachten ?
- Welche Images setzen ich ein ?
- Wie kann ich Probleme lösen
- Wie debugge ich non-root - Container/Pods
- Praktische Verwendung eins non-root pod
Der Security Context
- Was ist der SecurityContext
- seccomp
- Linux capabilities
- privileged/unprivileged
- appArmor / SELinux
Network Policies
- Network Policies verstehen
- Network Policies praktisch umsetzen
ServiceMesh
- Warum ein ServiceMesh ?
- Funktionsweise eines ServiceMeshs?
- Verwendung eines ServiceMeshs anhand von istio
Image Security
- Image Security Scanning